Kebocoran Data Aplikasi MyPertamina, Pakar Keamanan Sarankan Siber Menilai Audit & Investigasi Digital Forensic
10 November 2022 |
21:11 WIB
CISSReC menilai audit dan investigasi digital forensic adalah jalan terbaik yang harus dilakukan oleh perusahaan untuk memastikan sumber kebocoran data terkait dengan aksi peretas Bjorka yang membocorkan data aplikasi MyPertamina.
Pratama Persadha, Chairman CISSReC, mengatakan bahwa sampai saat ini sumber data yang dibocorkan oleh Bjorka masih belum jelas. “Namun soal asli atau tidaknya data ini ya hanya Pertamina sendiri yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini,” katanya.
Dia menuturkan bahwa perusahaan perlu memeriksa terlebih dahulu sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka. Jika ditemukan lubang pada sistem keamanan, berarti kemungkinan memang terjadi peretasan dan pencurian data.
Semetara itu, terdapat kemungkinan kebocoran data terjadi karena insider atau oleh orang dalam jika dalam pengecekan menyeluruh dan digital forensic tidak ditemukan celah keamanan dan jejak digital peretasan.
Pratama mengatakan pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam sesuai pasal 46 UU PDP ayat 1 dan 2 bila benar data yang dibocorkan oleh Bjorka adalah data MyPertamina.
“Pemberitahuan itu disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” katanya.
Menurut Pratama, kebocoran data oleh peretas Bjorka menjadi indikasi penting untuk segera membentuk lembaga pengawas PDP atau apapun namanya. Menurutnya, presiden harus segera membentuk lembaga ini setelah UU berlaku.
Lembaga pengawas atau komisi PDP tidak hanya melakukan pengawasan pada nantinya. Lembaga ini juga melakukan penegakan aturan dan menciptakan standar keamanan tertentu dalam proses pengolahan pemrosesan data.
“Dalam kasus kebocoran data seperti MyPertamina ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP,” ujar Pratama.
Dia menuturkan bahwa tindakan Bjorka melanggar pasal 67 UU Perlindungan Data Pribadi. UU itu menyatakan bahwa setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian pemilik data dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.
Kemudian, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp4 miliar. Selanjutnya, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.
Menurut dia, Bjorka membocorkan 44 juta data pengguna dan data transaksi aplikasi MyPertamina dengan memberikan sampel data. Data yang diunggah adalah nama, email, nik (nomor KTP), NPWP (nomor pajak), nomor telepon, alamat, DOB, jenis kelamin, penghasilan (harian, bulanan, tahunan), data pembelian BBM, dan sebagainya.
“Data yang berjumlah 44 juta ini dijual dengan harga US$25.000 atau sekitar Rp400 juta menggunakan menggunakan mata uang Bitcoin," katanya.
Pratama mengatakan bahwa data yang diklaim oleh Bjorka berjumlah 44.237.264 baris dengan total ukuran mencapai 30GB bila dalam keadaan tidak dikompres. Kemudian, data sampelnya dibagi menjadi 2 file, yaitu data transaksi dan data akun pengguna.
Editor: Indyah Sutriningrum
Pratama Persadha, Chairman CISSReC, mengatakan bahwa sampai saat ini sumber data yang dibocorkan oleh Bjorka masih belum jelas. “Namun soal asli atau tidaknya data ini ya hanya Pertamina sendiri yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini,” katanya.
Dia menuturkan bahwa perusahaan perlu memeriksa terlebih dahulu sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka. Jika ditemukan lubang pada sistem keamanan, berarti kemungkinan memang terjadi peretasan dan pencurian data.
Semetara itu, terdapat kemungkinan kebocoran data terjadi karena insider atau oleh orang dalam jika dalam pengecekan menyeluruh dan digital forensic tidak ditemukan celah keamanan dan jejak digital peretasan.
Pratama mengatakan pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis paling lambat 3x24 jam sesuai pasal 46 UU PDP ayat 1 dan 2 bila benar data yang dibocorkan oleh Bjorka adalah data MyPertamina.
“Pemberitahuan itu disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” katanya.
Menurut Pratama, kebocoran data oleh peretas Bjorka menjadi indikasi penting untuk segera membentuk lembaga pengawas PDP atau apapun namanya. Menurutnya, presiden harus segera membentuk lembaga ini setelah UU berlaku.
Lembaga pengawas atau komisi PDP tidak hanya melakukan pengawasan pada nantinya. Lembaga ini juga melakukan penegakan aturan dan menciptakan standar keamanan tertentu dalam proses pengolahan pemrosesan data.
“Dalam kasus kebocoran data seperti MyPertamina ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP,” ujar Pratama.
Dia menuturkan bahwa tindakan Bjorka melanggar pasal 67 UU Perlindungan Data Pribadi. UU itu menyatakan bahwa setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian pemilik data dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.
Kemudian, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp4 miliar. Selanjutnya, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.
Menurut dia, Bjorka membocorkan 44 juta data pengguna dan data transaksi aplikasi MyPertamina dengan memberikan sampel data. Data yang diunggah adalah nama, email, nik (nomor KTP), NPWP (nomor pajak), nomor telepon, alamat, DOB, jenis kelamin, penghasilan (harian, bulanan, tahunan), data pembelian BBM, dan sebagainya.
“Data yang berjumlah 44 juta ini dijual dengan harga US$25.000 atau sekitar Rp400 juta menggunakan menggunakan mata uang Bitcoin," katanya.
Pratama mengatakan bahwa data yang diklaim oleh Bjorka berjumlah 44.237.264 baris dengan total ukuran mencapai 30GB bila dalam keadaan tidak dikompres. Kemudian, data sampelnya dibagi menjadi 2 file, yaitu data transaksi dan data akun pengguna.
Editor: Indyah Sutriningrum
Komentar
Silahkan Login terlebih dahulu untuk meninggalkan komentar.