Bisnis.com, JAKARTA - Kementerian Komunikasi dan Informatika (Kemenkominfo) menyurati Komisi Pemilihan Umum (KPU) pascakebocoran 204 juta data Daftar Pemilih Tetap (DPT).
Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo Usman Kansong mengatakan Kemenkominfo sedang meminta klarifikasi KPU terkait peretasan ini.
Berdasarkan Undang-Undang No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) pasal 46, KPU harus memberikan informasi kronologi peretasan, jumlah data yang tersebar, hingga upaya pemulihan dari lembaga.
“Kemenkominfo sudah mengirim surat kepada KPU untuk meminta klarifikasi. Sesuai UU PDP, KPU menjawab surat tersebut paling lama dalam 3 × 24 jam,” ujar Usman kepada Bisnis, Rabu (29/11/2023).
Sebagai informasi, UU No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) sebenarnya telah mengatur pengendali data pribadi wajib melindungi dan memastikan keamanan data pribadi yang diprosesnya.
“Jika pengendali data tidak berhasil dalam melindungi data, mereka harus berupaya untuk memulihkan data dan mengetahui kapan dan bagaimana data pribadi dapat terungkap,” tulis UU tersebut.
Adapun saat pengendali data tidak dapat memenuhi hal tersebut, mereka dapat diberikan sanksi administratif.
Sanksi tersebut berupa peringatan tertulis, penghentian sementara pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, hingga denda administratif.
Sebagai informasi, lebih dari 204 juta data Daftar Pemilih Tetap (DPT) dari Komisi Pemilihan Umum (KPU) dikabarkan diretas dan dijual di dark web seharga 2 Bitcoin atau US$74.000 atau hampir Rp1,2 miliar.
Angka data yang diretas inipun hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 jiwa.
Menurut data yang diunggah di Breach Forum oleh akun anonim “Jimbo”, data yang dicuri berupa Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (No. KK), Nomor KTP dan Passport, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, serta kodefikasi TPS.
Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengatakan data sampel yang diberikan “Jimbo” sudah terbukti sama seperti data di laman CekDPT milik KPU.
Lebih lanjut, berdasarkan tangkapan layar yang dibagikan “Jimbo”, Pratama melihat website KPU yang kemungkinan berasal dari dashboard pengguna. Asumsinya, dari akun tersebut lah peretas mengunduh data-data DPT.
“Dengan adanya tangkapan layar tersebut maka kemungkinan besar Jimbo berhasil mendapatkan akses login dengan dengan role Admin KPU dari domain sidalih.kpu.go.id,” ujar Pratama kepada Bisnis, Selasa (28/11/2023).