FTNews, Jakarta — Seiring dengan masa kampanye pemilu 2024, dunia dihebohkan dengan bocornya data Komisi Pemilihan Umum (KPU). Berbagai spekulasi pun muncul karena menyangkut rahasia personal seseorang. Kasus ini justeru bikin kepercayaan masyarakt anjlok.
Gaduhnya soal dugaan data KPU bocor hingga mengundang keprihatinan Wakil Presiden Ma’ruf Amin. Orang nomor dua di negeri ini sangat menyayangkan kasus tersebut yang seharusnya tidak terjadi pada lembaga penyelenggara pemilu. KPU justeru seharusnya menjaga kerahasiaan data masyarakat.
Seperti diketahui, Komisi Pemilihan Umum (KPU) sebagai instansi pemerintah yang paling sering mengalami kebocoran data. Dalam empat tahun terakhir, data KPU dikabarkan 3 kali bobol.
Dari cacatan yang kami himpun, pada 2019, peretas dikabarkan berhasil mencuri 2,3 juta data daftar pemilih tetap (DPT) tahun 2014 dari KPU dalam format PDF. Kabar tersebut pertama kali tersiar dari akun twitter, sekarang X.com, bernama Under the Breach.
Under the Breach juga melaporkan bahwa data tersebut diambil sejak 2013 hingga 2019. Peretas juga mengeklaim berhasil mengamankan total data 200 juta DTP.
Ironisnya lagi, 3 tahun kemudian pada 2022, KPU kembali dihempas isu kebocoran data. Jumlah data DTP yang bocor lebih banyak yaitu 105 juta DTP.
Aktor peretas saat itu bernama Bjorka. Hacker yang namanya sempat populer pada tahun itu. Data penduduk warga Indonesia dan dijual Bjorka ke forum online Breached Forums seharga US$5.000 atau setara Rp77 juta (US$1=Rp15.510). Semua data tersebut disimpan dalam file 20GB (uncompressed) atau 4GB (compressed).
Bjorka mengeklaim memiliki data penduduk Indonesia dengan detail Nomor Induk Kependudukan (NIK), Kartu Keluarga, nama lengkap, tempat tanggal lahir, jenis kelamin, umur, dan lain-lain.
Empat kali kebocoran
Setelah dua kali dikabarkan mengalami kebocoran data, untuk kali ketiga dalam 4 tahun terakhir KPU kembali dikabarkan alami kebocoran data.
Peretas bernama Jimbo mencuri 204 juta data DTP dari KPU RI. Jumlah tersebut hampir dua kali lipat dari kejadian pada 2022. Jumlah tersebut juga sama dengan jumlah pemilih DTP tetap KPU.
Menurut data yang diunggah di Breach Forum, Jimbo berhasil mendapatkan informasi mengenai Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (No. KK), Nomor KTP dan Passport, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, serta kodefikasi TPS.
Sungguh mengerikan! Betapa tidak? Data personal seseorang, mungkin juga data pribadi kita diumbar ke pihak lain di dunia. Bahkan dijual. Artinya, data pribadi kita yang sebenarnya rahasia dengan dibobolnya oleh hacker. Pertanyaannya siapa yang bersalah?
Komisioner Komisi Pemilihan Umum (KPU) Viryan Aziz saat itu mengatakan data yang bocor adalah data yang terbuka untuk memenuhi kebutuhan publik dan sudah sesuai regulasi.
Ia membantah klaim hacker yang menyebut memiliki 200 juta data DPT adalah tidak benar. Pasalnya, jumlah DPT Pilpres 2014 tidak sampai 200 juta, melainkan 190 Juta.
Isu kebocoran data tersebut menyedot banyak perhatian. Kementerian Komunikasi dan Informatika bersama BSSN turun tangan, hingga akhirnya kabar kebocoran data menguap begitu saja.
Komisioner KPU Betty Epsilon Idroos pun ikut berkomentar kalau KPU saat tengah berkoordinasi dengan tim satgas siber KPU. Dia juga mengklaim bahwa seluruh sistem informasi yang dimiliki KPU masih terjamin keamanannya.
Meski diklaim aman, KPU tetap menggandeng Polri untuk mencari dan menangkap pelaku. Setelah dua kali dikabarkan mengalami kebocoran data, untuk kali ketiga dalam 4 tahun terakhir KPU kembali dikabarkan alami kebocoran data.
Sebelumnya, Jimbo sempat membagikan sekitar 500.000 data contoh yang berhasil dia dapatkan. Kemudian dia juga menampilkan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id untuk memverifikasi kebenaran data yang didapatkan tersebut.
Tim CISSReC jebol KPU
Tim CISSReC mengungkapkan Jimbo kemungkinan besar berhasil masuk ke dalam situs KPU dengan menggunakan role Admin KPU dari domain sidalih.kpu.go.id.
Berdasarkan Undang-Undang No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) pasal 46, KPU harus memberikan informasi kronologi peretasan, jumlah data yang tersebar, hingga upaya pemulihan dari lembaga.
Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie mengancam menjatuhkan sanksi administratif sebagaimana tercantum dalam Undang-Undang Perlindungan Data Pribadi (UU PDP), jika terbukti bersalah. UU PDP memang sudah berlaku sejak disahkan. UU tersebut telah mengatur bahwa pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya.
Diketahui, dalam kasus KPU pengendali data adalah KPU itu sendiri, karena tempat penyimpanan DPT adalah di dalam server KPU.
“Jika pengendali data tidak berhasil dalam melindungi data, mereka harus berupaya untuk memulihkan data dan mengetahui kapan dan bagaimana data pribadi dapat terungkap,” tulis UU tersebut.
Adapun saat pengendali data tidak dapat memenuhi hal tersebut, mereka dapat diberikan sanksi administratif.
Sanksi tersebut berupa peringatan tertulis, penghentian sementara pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, hingga denda administratif.
Dari penjelasan tersebut di atas, dapat disimpulkan. KPU rawan akan kesalahan atau abai dalam masalah data rahasia peserta pemilu. Tidaklah keliru jika Wapres Ma’ruf Amin dengan dana retorik menguji KPU.
Sementara Kementerian Kominfo yang mengancam akan memberikan sanksi sudah sesuai dengan Undang-Undang Perlindungan Data Pribadi (PDP). Sebab, sudah termasuk pelanggaran berat dikarenakan lalai mennjaga kerahasiaan data personal pemilu.*
