Bocor Data Pemilih Jelang Pemilu

Yang ia khawatirkan dari bocornya data itu dapat mengubah hasil rekapitulasi penghitungan suara. Hal itu dinilai akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional.

SinPo.id -  Sebuah akun anonim Jimbo membagikan 500 ribu data pemilih tetap (DPT) di situs BreachForums, pada 28 November 2023 lalu.  Dalam unggahannya bertepatan hari pertama jadwal kapanye calon presiden dan wakil presiden itu, Jimbo menawarkan menjual data yang berhasil diretas dari Komisi Pemilihan Umum (KPU).  Akun Jimbo juga membuktikan beberapa tangkapan layar dari website cekdptonline.kpu.go.id untuk meyakinkan kebenaran data yang didapatkan tersebut.

Penelusuran Lembaga Riset Keamanan Siber, Communication and Information System Security Research Center (CISSReC) menyebutkan, peretas dengan nama anonim Jimbo mengklaim telah meretas situs kpu.go.id dan berhasil mendapatkan data 252 juta pemilih yang terduplikasi.

“Setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data unik, di mana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari dengan 514 kabupaten dan kota di Indonesia serta 128 negara perwakilan,” kata Pakar keamanan siber Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha.

Akun Jimbo berhasil meretas data pribadi yang cukup penting seperti NIK, nomor KK, nomor KTP yang berisi nomor passport untuk pemilih yang berada di luar negeri, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir. Termasuk status pernikahan, alamat lengkap, RT, RW, hingga kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS.

Menurut Pratama, tim CISSReC telah memverifikasi data sample yang diberikan secara random melalui website cekdpt yang hasilnya sama dengan data sample yang dibagikan Jimbo, termasuk nomor TPS di mana pemilih terdaftar.

“Jimbo menawarkan data yang berhasil dia dapatkan seharga $74000 atau hampir setara Rp1,2 miliar,” ujar Pratama menjelaskan.

Tim CISSReC menyebut kemungkinan besar Jimbo berhasil mendapatkan akses login dengan dengan role Admin KPU dari domain sidalih.kpu.go.id. Cara itu dilakukan menggunakan metode phising, social engineering atau melalui malware.

Hal itu mengacu pada tangkapan layar lainnya yang dibagikan oleh Jimbo yang menunjukkan sebuah halaman website KPU. “Dengan adanya tangkapan layar tersebut kemungkinan berasal dari halaman dashboard pengguna,” ujar Pratama menjelaskan.

Keberhasilan Jimbo memiliki akses dari salah satu pengguna tersebut memudahkan mengunduh data pemilih serta beberapa data lainnya. Pada tanggal 7 Juni 2023 lalu CISSReC sebelumnya sudah mengingatkan KPU tentang vulnerability di sistem yang di miliki.

“Jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini tentu saja bisa sangat berbahaya pada pesta demokrasi pemilu yang akan segera dilangsungkan,” kata Pratama menegaskan

Yang ia khawatirkan dari bocornya data itu, bisa saja akun dengan role admin tersebut dapat mengubah hasil rekapitulasi penghitungan suara. Hal itu dinilai akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional.

Meski Pratama menyebutkan, masih perlu dilakukan audit forensik dari sistem keamanan server KPU untuk memastikan klaim serangan peretas mdapatkan data pemilih dari website KPU.

Ia pun menyarankan tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU tersebut.

“Sehingga bisa mencegah user yang semula berhasil didapatkan oleh peretas supaya tidak dapat dipergunakan kembali,” katanya.

Kejadian Terulang, Rawan digunakan Kampanye Personal

Pembobolan serangan terhadap website KPU bukan kali ini, pada tahun 2022 lalu sebanyak 105 juta data kependudukan diduga bocor dan dijual di forum online Breached Forums. Pelakunya menggunakan username Bjorka lewat sebuah postinganberjudul “INDONESIA CITIZENSHIP DATABASE FROM KPU 105M”

               

Bjorka merupakan akun serupa yang membocorkan data pelanggan IndiHome dan menjual sebanyak 1,3 miliar nomor HP dan NIK pelanggan seluler Indonesia.

Peneliti dari Lembaga Studi dan Advokasi Masyarakat (ELSAM), Annisa N Hayati menilai kebocoran data ini bisa menimbulkan penyalahgunaan data seperti disinformasi. Menurut Annisa, semakin banyak data yang dikumpulkan tentang pemilih, maka semakin meyakinkan panggilan palsu, pesan teks, atau email tentang individu dan koneksi sosial mereka.

“Selain itu, data pemilih ini juga berpotensi digunakan untuk kampanye politik secara personal,” ujar Annisa.

Annisa menyebut data pemilih itu bisa disalahgunakan dengan pencatutan nama pemilih seperti yang pernah terjadi pada 2022. Saat itu Bawaslu menemukan 494 NIK yang dicatut oleh partai politik ke dalam Sistem Informasi Partai Politik (Sipol) untuk pendaftaran peserta Pemilu.

"Kebocoran data Pemilu dapat mengakibatkan hak seseorang dalam mengungkapkan ekspresi serta pilihan politiknya terlanggar," ujar Annisa menjelaskan.

Sedangkan dugaan kebocoran data dari situs KPU juga bisa menurunkan tingkat kepercayaan publik pada penyelenggara Pemilu, sehingga dapat berdampak ke legitimasi Pemilu yang ikut berkurang.

Annisa mendesak KPU sebagai pengendali data harus mampu melaksanakan prinsip integritas dan kerahasiaan secara ketat terkait bocor data pemilih itu.

ELSAM juga menyoroti tumpang tindih regulasi yang diduga dapat membuka ruang bagi pihak Partai Politik mengakses data pemilih di situs KPU.

"KPU harus segera memastikan implementasi standar dan prinsip pelindungan data pribadi, sebagaimana diatur Undang Undang Perlindungan Data Pribadi (UU PDP)," kata Annisa.

Komisi Pemilihan Umum (KPU) menggandeng Badan Siber dan Sandi Negara (BSSN) serta Bareskrim Polri untuk mengusut dugaan kebocoran data daftar pemilih tetap (DPT) di Pemilu 2024. KPU mengetahui informasi ada pihak yang menjual data milik KPU sejak hari Senin, 27 November 2023 sekitar pukul 15.00 WIB.

"Setelah mendapatkan informasi tersebut, KPU langsung menginformasikan kepada BSSN, Bareskrim dan instansi terkait lainnya," kata  Komisioner KPU Betty Epsilon Idroos.

Betty menjelaskan, saat ini beberapa analisis sedang dijalankan untuk mengidentifikasi pelaku dugaan pembobolan data. Di antaranya analisis log akses, analisis manajemen pengguna, dan analisis log lainnya yang diambil dari aplikasi maupun server yang digunakan untuk mengidentifikasi pelaku.

“Jika benar melakukan peretasan terhadap Sistem Informasi Data Pemilih (Sidalih)," ujar Betty menambahkan.

Betty menegaskan, KPU memberikan akses seluas-luasnya kepada tim untuk melindungi dan mencegah terjadinya penyebaran data pemilih. Saat ini, KPU masih terus mengumpulkan bukti-bukti adanya kebocoran data tersebut.

"KPU senantiasa berkoordinasi dengan BSSN, Bareskrim Polri, pihak pengembang, dan instansi terkait lainnya untuk mendapatkan data-data dan bukti-bukti digital terkait informasi data breach tersebut,"katanya.

Saat ini KPU juga sedangkan menonaktifkan akun pengguna Sidalih. Langkah ini sebagai bentuk penanganan peretasan.

Direktur Tindak Pidana Siber Bareskrim Polri Brigjen Adi Vivid Bachtiar menyebut dugaan kebocoran data KPU tersebut merupakan hasil dari patroli siber. Saat ini kasus tersebut sedang diselidiki oleh Tim Computer Security Incident Response Team (CSIRT) dan dikoordinasikan dengan KPU.

"Dugaan kebocoran data KPU kami temukan dari hasil patroli siber yang dilakukan oleh anggota kami," kata Vivid.

Menkominfo : Tak Ada Motif Politik

Menteri Komunikasi dan Informatika (Menkominfo), Budi Arie Setiadi, meyakini dugaan pencurian data milik Komisi Pemilihan Umum (KPU) tidak ada motif politik, dan murni untuk bisnis. Pasalnya, nilai data yang dicuri cukup mahal jika pelaku memperjual belikannya.

"Kami ingin meyakinkan kalau ini tidak ada motif politik. Ini motif bisnis. Jadi publik jangan resah dulu," kata Budi usai rapat kerja bersama Komisi I DPR RI.

Meski Budi mengaku Kominfo masih menunggu informasi lebih detail dari KPU terkait dugaan kebocoran data tersebut. Sehingga ia belum dapat menyimpulkan sebelum adanya laporan dari lembaga terkait.

Ia menyatakan dugaan kebocoran data tersebut menjadi peringatan untuk seluruh pihak yang menyelenggarakan Pemilu agar memperkuat keamanan data dan menjaga sistem lebih baik. Namun ia juga tidak ingin ada pihak yang menyalahkan atau mendiskreditkan KPU.

"Jangan kita salah menyalahkan. Kami Kominfo tidak mau menyalahkan kementerian lembaga lain. Apalagi KPU ini kan penyelenggara Pemilu tumpuan kita semua, " katanya.

Ia meminta agar kasus pencurian data KPU tidak dikaitkan dengan persoalan politik agar masyarakat tetap percaya pada Pemilu dan lembaga Pemilu.

Badan Reserse Kriminal (Bareskrim) Polri mendalami kasus dugaan kebocoran data Daftar Pemilih Tetap (DPT) di situs web Komisi Pemilihan Umum (KPU).

Direktur Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kominfo), Semuel A Pangerapan, menyatakan saat ini sedang mengumpulkan data dan informasi untuk penanganan dugaan kebocoran data terbaru. Selain itu Kominfo telah mengirimkan surat permintaan klarifikasi kepada KPU.

"Secara bersamaan, kami juga melakukan pengumpulan data dan informasi yang diperlukan untuk mendukung upaya penanganan dugaan kebocoran data tersebut,”  ujar Semuel.

Dia mengingatkan larangan bagi setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses komputer dan atau sistem elektronik dengan cara apa pun dengan tujuan untuk memperoleh informasi elektronik dan atau Dokumen Elektronik.

Menurut dia, Pasal 65 Ayat (2) Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, setiap orang dilarang secara melawan hukum mengungkapkan Data Pribadi yang bukan miliknya.

“Kominfo mengimbau seluruh Penyelenggara Sistem Elektronik (PSE) baik lingkup publik maupun privat untuk meningkatkan keandalan sistem keamanan siber dan perlindungan data pribadi dalam setiap sistem elektronik yang mereka miliki sesuai ketentuan perundang-undangan,” kata Semuel menegaskan. (*)