Bisnis.com, JAKARTA - Komisi Pemilihan Umum (KPU) merupakan salah satu lembaga di Indonesia yang memiliki peran vital dalam menjaga pemilu damai, dan satu-satunya instansi pemerintah yang paling sering alami kebocoran data. Dalam 4 tahun terakhir, data KPU dikabarkan 3 kali bobol.
Pada 2019, peretas dikabarkan berhasil mencuri 2,3 juta data daftar pemilih tetap (DPT) tahun 2014 dari KPU dalam format PDF. Kabar tersebut pertama kali tersiar dari akun twitter, sekarang X.com, bernama Under the Breach.
Under the Breach juga melaporkan bahwa data tersebut diambil sejak 2013 hingga 2019. Peretas juga mengeklaim berhasil mengamankan total data 200 juta DTP.
"Data termasuk nama, alamat, nomor ID, tanggal lahir, dan lainnya," cuit @underthebreach.
KPU membenarkan adanya kebocoran data tersebut dan menganggapnya bukan masalah serius. Komisioner Komisi Pemilihan Umum (KPU) Viryan Aziz saat itu mengatakan data yang bocor adalah data yang terbuka untuk memenuhi kebutuhan publik dan sudah sesuai regulasi.
Viryan juga membantah klaim hacker yang menyebut memiliki 200 juta data DPT adalah tidak benar. Pasalnya, jumlah DPT Pilpres 2014 tidak sampai 200 juta, melainkan 190 Juta.
“Kondisi softfile DPT Pemilu 2014 di KPU aman, tidak kena hack atau bocor atau diretas,” tulis Viryan dalam akun twitternya.
Isu kebocoran data tersebut menyedot banyak perhatian. Kementerian Komunikasi dan Informatika bersama BSSN turun tangan, hingga akhirnya kabar kebocoran data menguap begitu saja.
Menariknya, 3 tahun berselang atau pada 2022, KPU kembali dihempas isu kebocoran data. Jumlah data DTP yang bocor lebih banyak yaitu 105 juta DTP.
Aktor peretas kali ini adalah Bjorka. Hacker yang namanya sempat populer pada tahun itu. Data penduduk warga Indonesia dan dijual Bjorka ke forum online Breached Forums seharga US$5.000 atau setara Rp77 juta (US$1=Rp15.510). Semua data tersebut disimpan dalam file 20GB (uncompressed) atau 4GB (compressed).
Bjorka mengeklaim memiliki data penduduk Indonesia dengan detail Nomor Induk Kependudukan (NIK), Kartu Keluarga, nama lengkap, tempat tanggal lahir, jenis kelamin, umur, dan lain-lain.
Mengenai kabar tersebut, KPU kembali membantah dan menegaskan data dalam kondisi aman.
"Setelah kami analisa, koding yang dilakukan dalam situs yang dimaksud bukan merupakan data yang dimiliki KPU," kata Komisioner KPU Betty Epsilon Idroos saat itu.
Betty menyebut saat ini KPU tengah berkoordinasi dengan tim satgas siber KPU. Dia juga mengklaim bahwa seluruh sistem informasi yang dimiliki KPU masih terjamin keamanannya.
Meski diklaim aman, KPU tetap menggandeng Polri untuk mencari dan menangkap pelaku.
Setelah dua kali dikabarkan mengalami kebocoran data, untuk kali ketiga dalam 4 tahun terakhir KPU kembali dikabarkan alami kebocoran data.
Peretas bernama Jimbo mencuri 204 juta data DTP dari KPU RI. Jumlah tersebut hampir dua kali lipat dari kejadian pada 2022. Jumlah tersebut juga sama dengan jumlah pemilih DTP tetap KPU.
“Belum juga pemilu dan tau hasilnya gimana, tapi data pribadi kita semua yang terbaru malah udah bocor duluan. Sungguh berguna sekali kalian @kemkominfo, @BSSN_RI, dan @KPU_ID," tulis akun X.com @secgron.
Menurut data yang diunggah di Breach Forum, Jimbo berhasil mendapatkan informasi mengenai Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (No. KK), Nomor KTP dan Passport, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, serta kodefikasi TPS.
Sebelumnya, Jimbo sempat membagikan sekitar 500.000 data contoh yang berhasil dia dapatkan. Kemudian dia juga menampilkan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id untuk memverifikasi kebenaran data yang didapatkan tersebut.
Tim CISSReC mengungkapkan bahwa Jimbo kemungkinan besar berhasil masuk ke dalam situs KPU dengan menggunakan role Admin KPU dari domain sidalih.kpu.go.id.
"Jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini tentu saja bisa sangat berbahaya pada pesta demokrasi pemilu yang akan segera dilangsungkan karena bisa saja akun dengan role admin tersebut dapat dipergunakan untuk merubah hasil rekapitulasi penghitungan suara yang tentunya akan mencederai pesta demokrasi, bahkan bisa menimbulkan kericuhan pada skala nasional," tambah Pratama Persadha menjelaskan.
Sementara itu Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo Usman Kansong mengatakan Kemenkominfo sedang meminta klarifikasi KPU terkait peretasan ini.
Berdasarkan Undang-Undang No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) pasal 46, KPU harus memberikan informasi kronologi peretasan, jumlah data yang tersebar, hingga upaya pemulihan dari lembaga.
“Kemenkominfo sudah mengirim surat kepada KPU untuk meminta klarifikasi. Sesuai UU PDP, KPU menjawab surat tersebut paling lama dalam 3 × 24 jam,” ujar Usman kepada Bisnis, Rabu (29/11/2023).
Usman juga mengatakan jika terbukti bersalah, maka KPU akan dikenakan sanksi administratif.
Menteri Komunikasi dan Informatika (Menkominfo) Budi Arie mengungkapkan, faktor ekonomi menjadi motif pelaku mencuri dan menjual data 204 juta daftar pemilih tetap (DPT) Pemilu 2024 dari Komisi Pemilihan Umum (KPU).
"Ini motifnya sih ekonomi, dalam pengertian jualan data. Kan data sekarang mahal harganya iya kan, gitu," ujarnya.
Dia memastikan, pelaku akan diproses secara hukum. Menurutnya, pihaknya sudah berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN), KPU, dan para penegak hukum lainnya.