Jakarta, BISKOM – Kasus kebocoran data kembali terjadi. Setelah sebelumnya kebocoran data pengguna Tokopedia terjadi, kali ini peristiwa tidak menyenangkan terjadi pada pengguna Kreditplus, perusahaan teknologi asal Indonesia yang bergerak di bidang finansial (fintech).
Informasi ini pertama kali diunggah oleh akun Twitter Teguh Aprianto. Seperti dikutip dari akun dengan nama @secgron, Senin (3/8/2020), ada sekitar 896 ribu data pengguna KreditPlus yang bocor dan dijual di forum underground. Adapun data tersebut meliputi nama, KTP, email, password, alamat, nomor HP, data pekerjaan, dan data keluarga penjamin.
Serupa dengan kasus kebocoran data Tokopedia beberapa waktu lalu, ratusan ribu data tersebut konon dijual di forum terbuka yang biasanya digunakan sebagai kanal untuk pertukaran database, Raidforums.
Menurut CISSReC (Communication & Information System Security Research Center), kendati baru terkuak belum lama ini, data nasabah yang diduga bocor itu ternyata sudah tersebar di forum tersebut sejak 16 Juli lalu. Database yang konon berukuran 78 MB tersebut lantas dijual di Raidforums dalam sebuah thread oleh seorang pengguna bernama “ShinyHunters” dengan harga sekitar Rp 50.000.
Ketua CISSReC Pratama Persadha menjelaskan bahwa informasi yang bocor ini adalah data sensitif yang begitu lengkap, dan ini sangat berbahaya untuk nasabah. Kelengkapan data nasabah memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lainnya. “Masalah utama di Tanah Air belum ada UU yang memaksa para penyedia jasa sistem elektronik ini untuk mengamankan dengan maksimal data masyarakat yang dihimpunnya. Sehingga data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang,” paparnya.
Pratama mengimbau pengguna untuk selalu waspada dan mengamankan akun dengan segala fitur keamanan yang tersedia. “Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya yang buat password yang baik dan kuat, aktifkan two factor authentication,” lanjut Pratama.
Dirinya juga mendesak pemerintah untuk mempercepat pembahasan RUU Perlindungan Data Pribadi (PDP) supaya kasus kebocoran data seperti ini bisa diusut secara tuntas dan keamanan data pribadi masyarakat bisa terjamin. Dalam hal ini negara punya tanggungjawab untuk melakukan percepatan pembahasan RUU Perlindungan Data Pribadi. Nantinya, dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.
“Hal serupa ada di regulasi perlindungan data pribadi bagi warga uni eropa, GDPR atau General Data Protection Regulation. Setiap data yang dihimpun harus diamankan dengan enkripsi,” tegas Ketua CISSReC.
Menurut Pratama yang juga pakar keamanan siber ini sangat penting pasal perlindungan masuk dalam RUU PDP di Tanah Air. Pihak penyelenggara sistem transaksi elektronik harus mulai menjadikan data penggunanya sebagai prioritas keamanan. “Untuk mencegah pencurian data berulang, perlu diadakan penetration test dan juga bug bounty. Setiap PSTE bisa memberikan rewards yang layak pada setiap pihak yang menemukan celah keamanan pada sistem mereka. Hal ini sering dilakukan Apple, Google, FB, Amazon dan raksasa teknologi lainnya,” pungkasnya. (red)
