Masalah peretasan data PDN belum genap 3 bulan, namun pada hari Rabu, 18 September 2024 terjadi peretasan lagi. Data yang diserang kali ini berasal dari Direktorat Jenderal Pajak Kementerian Keuangan. Pelaku di balik peretasan ini adalah Bjorka. Pada Juli tahun lalu, Bjorka meretas dan membocorkan 34,9 juta data paspor warga Indonesia. Tahun 2022, ia juga meretas riwayat pencarian pelanggan layanan internet Indihome dan menjual data registrasi kartu seluler dari berbagai operator. Selain itu, pada 6 September 2022 ini, ia mencuri 105 juta data calon pemilih yang dikelola oleh KPU.
Sekitar 6 juta data NPWP (Nomor Pokok Wajib Pajak) bocor dan dijual oleh Bjorka di Breach Forums. Data tersebut diperjualbelikan dengan harga sekitar 150 juta rupiah.
“Dalam sampel ini, kamu akan mendapatkan informasi pribadi tentang presiden Indonesia dan putra-putranya yang bodoh, selain itu ada juga data tentang Menteri Keuangan dan menteri lainnya yang tidak berguna,” tulis Bjorka dalam keterangan data yang diperjualbelikan di forum tersebut.
Data yang bocor mencakup data masyarakat umum, bahkan data presiden Joko Widodo beserta kedua putranya. Pelaku memberikan sampel sejumlah 10 ribu data dari total yang diretas, termasuk NPWP Jokowi, Gibran, Kaesang, Menkominfo, dan beberapa menteri lainnya. Sampel data ini sudah diuji coba dan dipastikan kevalidannya. Dugaan kebocoran data ini diberitahukan oleh pendiri Ethical Hacker Indonesia, yaitu Teguh Aprianto, melalui X pada Rabu, 18 September 2024. Postingan ini kemudian ramai diperbincangkan dan menjadi trending topic di X.
Menteri Keuangan Sri Mulyani menyebutkan bahwa pihak Kemenkeu sedang melakukan evaluasi terkait persoalan tersebut, dan hasil evaluasi nya akan disampaikan oleh DJP dan tim IT Kemenkeu. Sementara itu, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP Kemenkeu, Dwi Astuti, mengatakan, bahwa pihaknya masih melakukan pendalaman terkait kebocoran data NPWP itu.
Presiden Jokowi memberikan tanggapan bahwa ia telah meminta Kemenkominfo, Kemenkeu dan BSSN untuk melakukan mitigasi secepatnya. Selain itu, presiden juga menyebutkan bahwa peristiwa serupa juga terjadi di negara lain. Dikutip dari Kompas, Presiden Jokowi mengatakan, “Dan peristiwa seperti ini kan juga terjadi di negara-negara lain yang semua data itu mungkin karena keteledoran password. Bisa terjadi karena penyimpanan data yang juga terlalu banyak di tempat-tempat yang berbeda, bisa menjadi ruang untuk diretas oleh hacker.”
Lalu apa dampak dari kebocoran data ini? Alfons Tanujaya, pengamat keamanan siber dari Vaksincom, menyebutkan dampaknya akan sangat luar biasa karena data yang bocor ini sangat krusial. Data tersebut bisa saja digunakan untuk menipu masyarakat dengan menggunakan rekayasa sosial atau social engineering dengan berpura-pura menjadi petugas pajak, dan kemungkinan besar akan memakan banyak korban. Peretasan data pribadi ini juga disalahgunakan untuk pengajuan pinjaman online (pinjol) dan iklan judi online.
Begitu banyak insiden peretasan dan penjualan data pribadi ini terjadi, bahkan dalam skala yang besar. Mengapa hal tersebut terus berulang? Salah satu penyebabnya adalah belum adanya sanksi kepada pelaku baik secara administratif maupun denda untuk perusahaan atau badan yang mengalami kebocoran data tersebut. Bulan depan, pada 18 Oktober 2024, akan menjadi hari pertama Undang-Undang Perlindungan Data Pribadi (UU PDP) diberlakukan setelah ditetapkan dan disahkan pada 17 Oktober 2022. Pengendali Data Pribadi serta Prosesor Data Pribadi telah diberi waktu dua tahun untuk melakukan penyesuaian. Namun, hingga saat ini, presiden masih belum membentuk Lembaga Penyelenggara PDP ini. Ketua Lembaga Riset Keamanan Siber (CISSReC), Pratama Persadha, mengatakan jika Jokowi tidak segera membentuk lembaga ini sampai batas waktu 17 Oktober 2024, Jokowi berpotensi melanggar UU PDP. Dalam UU PDP pasal 58 sampai pasal 61 tertulis bahwa presiden diamanatkan untuk membentuk Lembaga Penyelenggara PDP. Pasal 58 ayat (3) berbunyi “Lembaga sebagaimana pada ayat (2) ditetapkan oleh presiden”.
Perlindungan data pribadi juga termasuk ke dalam perlindungan hak asasi manusia yang tertulis dalam Pasal 28G ayat (1) UUD 1945 yang berisi “Setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.” UU PDP juga mengatur bahwa jika terjadi kegagalan perlindungan data pribadi seperti peretasan, maka badan atau perusahaan yang memiliki kendali atas data tersebut wajib mengeluarkan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi atau lembaga. Diperlukan mitigasi konkrit dan serius dari pemerintah untuk mencegah peretasan ini terus berulang.
Penulis: Shahnaz Ariqah Simanullang
Editor: Maulina Nur Laila dan Mutiara Noor Fauzia
Referensi: