Gempita.co – MyPertamina menjadi target terbaru tindak peretasan oleh hacker Bjorka setelah sekitar 2 bulan lebih lenyap dari permukaan.
Sebanyak 44 juta data pengguna MyPertamina berukuran 30GB diunggah pada hari Kamis, (10/11) pukul 10.31 WIB oleh Bjorka di situs breached.to. Pembobolan data aplikasi ini sempat disentil oleh Bjorka pada September lalu, dan ia pun ‘menepati janji’ akan hal ini.
“Data yang diunggah yaitu Nama, Email, NIK (Nomor KTP), NPWP (Nomor Pajak), Nomor Telepon, Alamat, DOB, Jenis Kelamin, Penghasilan (Harian, Bulanan, Tahunan), data pembelian BBM dan masih banyak data lainnya,” jelas Pratama Persadha, chairman lembaga riset siber CISSReC dalam pernyataan dikutip Uzone.id.
“Data yang berjumlah 44 juta ini dijual dengan harga USD25 ribu atau sekitar Rp400 juta menggunakan menggunakan mata uang Bitcoin,” tambahnya.
Ada 3 tindakan Bjorka yang melanggar Pasal 67 UU Perlindungan Data Pribadi, berikut diantaranya:
Yang pertama, setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian pemilik data dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp 5 miliar;
Kedua, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp 4 miliar.
Ketiga, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp 5 miliar.
Data MyPertamina yang dibobol ini valid atau tidak?
Pratama menambahkan, ketika sampel datanya di cek secara acak dengan aplikasi ”GetContact”, maka nomor tersebut benar menunjukan nama dari pemilik nomor tersebut. Selain itu di cek NIK lewat aplikasi Dataku juga cocok. Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid.
“Sampai saat ini sumber datanya masih belum jelas, Namun soal asli atau tidaknya data ini ya hanya Pertamina sendiri yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini,” ujarnya.
Ia juga menyarankan bahwa jalan terbaik yang harus dilakukan adalah audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana.
Hal yang perlu dicek terlebih dahulu adalah sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data.
“Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam,” tambahnya.
Pratama menegaskan, jika benar data yang bocor ini merupakan milik MyPertamina, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam.
“Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Perlindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi”, terangnya.
Pratama juga mengatakan kalau “hal yang paling penting saat ini adalah dengan segera membentuk lembaga pengawas PDP atau apapun namanya, Komisi PDP misalnya.”
Pembentukan lembaga pengawas ini sudah diamanatkan dalam UU PDP. Dalam kasus kebocoran data seperti MyPertamina ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP.
