Pakar keamanan siber Pratama Persadha menyampaikan, telah terjadi kebocoran sebanyak 44 juta data pengguna dan data transaksi aplikasi MyPertamina pada Kamis (10/11) pukul 10:31 WIB, oleh anggota forum situs breached.to dengan nama identitas 'Bjorka'.
Secara rinci, kebocoran yang dilakukan oleh Bjorka terhadap MyPertamina, yakni berjumlah 44.237.264 baris dengan total ukuran mencapai 30GB, hal terbut jika dalam keadaan tidak dikompres. Kemudian, data sampelnya dibagi menjadi dua file yang berisi tentang data transaksi dan data akun pengguna.
Selanjutnya, ketika sampel datanya dicek secara acak dengan aplikasi GetContact, maka nomor tersebut benar menunjukan nama dari pemilik nomor tersebut. GetContact merupakan aplikasi yang dapat mengetahui ID penelepon, meskipun nomor telepon tidak tersimpan di buku telepon.
Sama halnya juga dapat dikatakan benar, ketika dicek NIK menggunakan aplikasi Dataku yang memperlihatkan memang ada kecocokan. Oleh karena itu, sampel data yang diberikan oleh Bjorka merupakan data yang valid.
“Data yang diunggah yaitu nama, email, NIK (Nomor KTP), NPWP (Nomor Pajak), nomor telepon, alamat, DOB, jenis kelamin, penghasilan (harian, bulanan, tahunan), data pembelian BBM dan masih banyak data lainnya. Data yang berjumlah 44 juta ini dijual dengan harga US$25.000 atau sekitar Rp400 juta menggunakan mata uang Bitcoin,” ujar Pratama Persadh yang juga Chairman lembaga riset siber Communication & Information System Security Research Center (CISSReC).
Namun dia menegaskan asli atau tidaknya data ini, hanya pihak Pertamina yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana.
“Bila benar ini data MyPertamina, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi. Maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3x24 jam. Pemberitahuan itu disampaikan kepada subjek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi,” tuturnya.
Pratama menambahkan, kondisi seperti ini yang harus dilakukan dengan cepat dengan segera membentuk seperti lembaga pengawas PDP, komisi PDP dan lain-lain. Karena ini juga sudah diamanatkan melalui Undang-Undang Perlindungan Data Pribadi (PDP), sehingga presiden yang membentuk Komisi PDP untuk segera setelah UU berlaku. Komisi PDP ini, tujuannya bukan hanya mengawasi, melainkan juga melakukan penegakan aturan, dan menciptakan standar keamanan tertentu dalam proses pengolahan pemrosesan data.
Maka dari itu, seperti halnya yang sedang terjadi dalam kasus kebocoran data MyPertamina, apabila ada masyarakat yang dirugikan, dapat melakukan gugatan melalui komisi PDP.
Selain itu, atas perbuatan yang dilakukan oleh Bjorka, melanggar Pasal 67 UU Perlindungan Data Pribadi yang menyatakan sebagai berikut: 1. Setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian pemilik data dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar; 2. Setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp4 miliar; 3. Setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp5 miliar.
Untuk diketahui, Bjorka juga pernah memberikan data di PLN, Indihome, data registrasi sim card, data sebanya 105 juta data pemilih, hingga data rahasia dan surat untuk presiden yang bocor.
