Bisnis.com, SOLO - Sebanyak 204 juta data Daftar Pemilih Tetap (DPT) dalam situs Komisi Pemilihan Umum (KPU) diduga telah bocor.
Kebocoran data itu disebabkan karena adanya hacker bernama Jimbo yang berhasil melakukan retasan dengan cara phising.
Setidaknya 204 juta data tersebut dijual di dark web seharga 2 Bitcoin atau US$74.000 atau hampir Rp1,2 miliar.
Diklaim benar terjadi
Kondisi peretasan ini diklaim benar-benar terjadi, lantaran angka data yang diretas hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 jiwa.
"Jimbo juga menyampaikan dalam postingan di forum tersebut bahwa data 252 juta yang berhasil dia dapatkan terdapat beberapa data yang terduplikasi, di mana setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data unik di mana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari dengan 514 kab/kota di Indonesia serta 128 negara perwakilan," kata Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha dalam keterangan resmi, Selasa (28/11/2023).
Baca Juga
500 Ribu Data Diunggah di Breach Forum
Menurut data yang diunggah di Breach Forum, Jimbo berhasil mendapatkan informasi mengenai Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (No. KK), Nomor KTP dan Passport, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, serta kodefikasi TPS.
Sebelumnya, peretas ini sempat membagikan sekitar 500.000 data contoh yang berhasil dia dapatkan. Kemudian ia juga menampilkan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id untuk memverifikasi kebenaran data yang didapatkan tersebut.
Masuk sebagai Admin KPU
Tim CISSReC mengungkapkan bahwa Jimbo kemungkinan besar berhasil masuk ke dalam situs KPU dengan menggunakan role Admin KPU dari domain sidalih.kpu.go.id.
"Jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini tentu saja bisa sangat berbahaya pada pesta demokrasi pemilu yang akan segera dilangsungkan karena bisa saja akun dengan role admin tersebut dapat dipergunakan untuk merubah hasil rekapitulasi penghitungan suara yang tentunya akan mencederai pesta demokrasi, bahkan bisa menimbulkan kericuhan pada skala nasional," tambah Pratama Persadha menjelaskan.
Kronologi
Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo Usman Kansong mengatakan Kemenkominfo sedang meminta klarifikasi KPU terkait peretasan ini.
Berdasarkan Undang-Undang No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) pasal 46, KPU harus memberikan informasi kronologi peretasan, jumlah data yang tersebar, hingga upaya pemulihan dari lembaga.
“Kemenkominfo sudah mengirim surat kepada KPU untuk meminta klarifikasi. Sesuai UU PDP, KPU menjawab surat tersebut paling lama dalam 3 × 24 jam,” ujar Usman kepada Bisnis, Rabu (29/11/2023).
