Lokadata.ID

Kasus kebocoran data semakin banyak, belanja daring paling rentan

Ilustrasi penindakan kasus peretasan data e-commerce oleh Kepolisian.
Ilustrasi penindakan kasus peretasan data e-commerce oleh Kepolisian. Hafidz Mubarak A / ANTARA FOTO

Kebocoran data pribadi semakin mengkhawatirkan di Indonesia. Kian masifnya penggunaan internet, dan lemahnya perlindungan menjadi alasan kenapa kebocaran data semakin bertumbuh.

Berdasarkan riset platform manajemen media sosial HootSuite dan agensi marketing sosial We Are Social bertajuk Global Digital Reports 2020, yang dirilis akhir Januari lalu, sudah lebih dari setengah jumlah populasi, yaitu sebesar 64 persen penduduk Indonesia terkoneksi dengan internet.

Bahkan, situasi pandemi korona diyakini menjadi salah satu pendorong adopsi penggunaan internet nasional mengalami pertumbuhan yang lebih masif lagi dalam 6 bulan terakhir. Tak heran jika potensi kebocoran data juga semakin membesar.

Menurut data Yayasan Lembaga Konsumen Indonesia (YLKI) tahun 2019, sektor perbankan masih memimpin kasus kebocoran data, dengan banyaknya pengaduan kasus pencurian data, yaitu sebanyak 106 kasus, diikuti dengan pinjaman daring 96 kasus, sementara sektor asuransi menempati peringkat terakhir, yaitu ke sepuluh dengan 21 kasus.

Namun jika ditarik selama 3 tahun ke belakang, pinjaman daring dan e-commerce masih menjadi sektor dengan laporan kebocoran data paling banyak.

"Sebanyak 70 persen aduan dikarenakan konsumen berinteraksi langsung dengan pinjaman daring illegal. Faktanya, saat ini mayoritas pinjaman daring beroperasi secara ilegal. Sedangkan pinjaman online legal yang terdaftar di OJK jumlahnya hanya sekitar 110," kata Tulus Abadi, Ketua Pengurus Harian YLKI kepada Lokadata.id, Kamis (13/8/2020).

Untuk cara pinjaman daring ilegal mencuri data menurut Tulus dengan melakukan penyadapan, mulai dari nomor telepon seluler, foto, video, email, dan data tersebut digunakan oknum sebagai tekanan untuk konsumen mengembalikan utangnya.

Pengaduan pun meningkat drastis saat pandemi korona sekarang ini. Hal ini tidak terlepas karena penggunaan e-commerce sebagai platform belanja meningkat di saat pembatasan kegiatan dilakukan.

"Data menunjukan, ada 54 kasus pencurian data e-commerce dari total 277 kasus selama bulan Januari hingga Juni 2020," jelas Tulus.

Deretan kebocoran data

Pada Mei 2020, kita juga digemparkan dengan adanya 230 ribu data pasien korona di Indonesia yang dicuri oleh peretas, dan menjualnya di forum dark web RapidForums.

Data-data warga yang dijual itu terbilang lengkap. Beberapa informasi tersebut, antara lain nama, status kewarganegaraan, tanggal lahir, umur, nomor telepon, alamat rumah, Nomor Identitas Kependudukan (NIK), dan alamat hasil tes corona.

Selain itu, hasil tes korona juga muncul secara rinci dalam basis data tersebut. Data yang dijual berupa gejala, tanggal mulai sakit, dan tanggal pemeriksaan.

Akun penjual bernama Database Shopping menyatakan, basis data terkait korona mulai bocor pada 20 Mei 2020. Namun, Ia mulai menjual data pasien atau warga yang terkait wabah korona pada Kamis (18/6).

Sebelumnya, pada 21 Mei, data 2,3 juta warga dan pemilih Indonesia diduga bocor di forum RapidForums. Hal ini diungkap oleh akun @underthebreach yang sebelumnya mengungkap soal penjualan data 91 juta pengguna Tokopedia.

Penjual data mengaku mendapat data ini secara resmi dari Komisi Pemilihan Umum (KPU). Data tersebut dijual dalam bentuk PDF.

Dari bocoran data yang diungkap akun ini, sebagian besar pemilih berasal dari Yogyakarta. Bocoran data yang dijual berisi nama, alamat, NIK dan Kartu Keluarga (KK), serta data lain.

Tak luput dari para peretas, data pengguna e-commerce juga menjadi sasaran empuk. Sekelompok peretas ShinyHunters pada 11 Mei mengklaim memiliki 1,2 juta data pengguna Bhinneka.com. Peretas berhasil membobol data pengguna Bhinneka dan menjual total 73 juta data pengguna dari berbagai situs lain di dark web.

Selain Bhinneka.com, pada 5 Mei, data 13 juta akun Bukalapak yang bocor juga kembali diperjualbelikan di forum hacker RaidForums. Meskipun, CEO Bukalapak, Rachmat Kaimuddin, menegaskan, tidak ada data baru pengguna layanan e-commerce itu yang bocor dan dijual di forum hacker.

Rachmat mengatakan, bahwa 13 juta data akun yang bocor tersebut merupakan data yang sama saat 13 juta data akun Bukalapak dijual oleh peretas asal Pakistan yang bernama Gnosticplayers.

Data yang ditampilkan mulai dari email, nama pengguna, password, salt, last login, email Facebook dengan hash, alamat pengguna, tanggal ulang tahun, hingga nomor telepon.

Senada, Tokopedia juga dilaporkan mengalami peretasan, bahkan jumlahnya diperkirakan mencapai 91 juta akun dan 7 juta akun merchant. Peretas yang sama juga membocorkan mencuri data dari Bhinneka.

Pelaku menjual data di dark web berupa user ID, email, nama lengkap, tanggal lahir, jenis kelamin, nomor handphone dan password yang masih ter-hash atau tersandi.

Semua dijual dengan harga AS$5.000 atau sekitar Rp74 juta. Bahkan ada 14.999.896 akun Tokopedia yang datanya saat ini bisa diunduh.

Sementara itu, data Zscaler menunjukan, bahwa terjadi peningkatan aktivitas peretasan data sejak awal pandemi korona sebanyak 15 persen, dan mengalami kenaikan 20 persen atau tercatat sebanyak 20.000 kasus di bulan Maret lalu. Penggunaan kata kunci “virus corona” dan “Covid-19” digunakan sebagai cara peretas melakukan kegiatannya.

Phising spear menjadi cara peretas untuk melakukan pencurian data pengguna, yaitu teknik penyebaran email yang seolah olah dari rekan atau organisasi yang telah kita kenal sebelumnya. Teknik ini digunakan oleh hacker untuk mendapatkan nomor kartu kredit, bank account, password dan Informasi finansial lainnya.

UU Perlindungan Data Pribadi

Di sisi lain, kebocoran data yang semakin masif dan mengkhawatirkan menuntut adanya peran pemerintah dalam membuat kebijakan perlindungan data pribadi. Untuk itu, Undang-Undang Perlindungan Data Pribadi (UU PDP) dianggap sangat penting.

Keberadaan UU PDP nantinya diyakini dapat menjadi payung hukum atas segala aktivitas pengguna internet di Indonesia. Sebab, UU PDP dapat menjamin keamanan data dari berbagai ancaman yang terjadi di berbagai platform media sosial.

“Seperti yang saya sampaikan tadi, Komisi I DPR RI sudah mulai pembahasan Rancangan Undang-Undang PDP, dan memang saya akui bahwa pembahasan ini agak sedikit terlambat dari target. Kami menargetkan di awal 2020 akan membahas RUU PDP, tetapi karena adanya pandemi korona, masa sidang ke-II dan ke-III mengalami keterlambatan,” kata Charles Honoris, Anggota DPR RI Komisi I, Senin (10/8/2020).

Saat ini progres RUU PDPD telah memasuki tahap Rapat Dengar Pendapat (RDP) dengan beberapa pihak, seperti akademisi, pakar dan pelaku usaha dan asosiasi lembaga konsumen.

Tidak hanya itu, Fraksi-Fraksi juga telah menyusun dan menyerahkan daftar terkait otoritas perlindungan data pribadi dan mengusulkan agar pemerintah memiliki otoritas independen dalam hal perlindungan data pribadi.

“Banyak yang tidak menyadari bahwa hak atas perlindungan data pribadi adalah bagian dari hak asasi manusia” ujar Charles.

Saat ini Indonesia masih perlu mempelajari beberapa prinsip yang diterapkan di negara-negara lain, seperti Uni Eropa yang telah menerapkan General Data Protection Regulation (GDPR).

Menanggapi hal itu, Tulus mengaku setuju. Menurutnya, pelaku usaha besar atau pemerintahan selama ini memang sudah punya keamanan sendiri, sekalipun belum ada UU PDP. Namun, belum semua jenis usaha memandang itu penting.

"Untuk beberapa sektor seperti perbankan, telekomunikasi, dan BPJS kesehatan memang sudah concern akan hal itu (menjaga kerahasiaan data). Tetapi, tetap perlu penguatan regulasi, yaitu lewat UU PDP,” tutup Tulus.