Belum rampung kasus kebocoran data peserta BPJS Kesehatan, kejadian serupa dialami PT Asuransi BRI Life. Data 463 ribu di antara dua jutaan peserta BRI Life diretas hacker. Data tersebut lalu ditawarkan di pasar gelap jual beli online. Bareskrim Mabes Polri dan Kementerian Komunikasi dan Informatika (Kominfo) kini mengusut kasus itu.
Informasi bocornya data nasabah BRI Life keluar Selasa lalu (27/7). Data tersebut dilansir kali pertama oleh Reuters merujuk posting-an di RaidForums. Data 463 ribu peserta asuransi itu dijual USD 7.000 atau sekitar Rp 101,5 juta.
Data yang tersedia mulai perincian nomor rekening bank, salinan KTP, sampai nomor pokok wajib pajak (NPWP). Ada juga catatan kesehatan atau hasil pemeriksaan laboratorium.
Kabareskrim Komjen Agus Andrianto menuturkan, dugaan awal perkara itu merupakan kebocoran data perbankan. ”Saat ini dalam penyelidikan dittipideksus,” paparnya di Mabes Polri kemarin (28/7). Namun, mantan Kapolda Sumut tersebut belum memberikan informasi detail terkait kasus itu.
Beberapa waktu lalu Bareskrim juga mengusut kebocoran data peserta BPJS Kesehatan. Namun, hingga kini pelaku belum tertangkap. Seorang penyidik sebenarnya telah mengetahui dan mendeteksi hacker bernama Kotz. Namun, entah mengapa pelaku sampai saat ini belum tertangkap.
Corporate Secretary BRI Life Ade Nasution mengatakan, pihaknya bersama tim independen spesialisasi cyber security sedang melakukan investigasi. Menelusuri jejak digital dan meningkatkan perlindungan data pemegang polis BRI Life. Dia memastikan, BRI Life tidak pernah memberikan data pribadi kepada pihak-pihak yang tidak bertanggung jawab.
’’Apabila ada permintaan data pribadi yang mengatasnamakan atau mengaitkan dengan kepemilikan polis di BRI Life, pemegang polis harus segera menghubungi layanan resmi kami melalui call center 1500087, WhatsApp corporate 08119350087, atau e-mail cs@brilife.co.id,’’ jelasnya.
Ade menjamin hak pemegang polis sesuai dengan polis yang dimiliki. BRI Life berkomitmen untuk berupaya maksimal melindungi data pemegang polis dengan menerapkan tata kelola teknologi informasi sesuai standar ketentuan dan peraturan perundang-undangan.
Chairman Communication and Information System Security Research Center (CISSReC) Pratama Persadha menyatakan bahwa dugaan kebocoran data pribadi milik nasabah BRI Life turut diamati perusahaan pemantau kejahatan siber, Hudson Rock. Menurut dia, dugaan kebocoran itu harus menjadi perhatian pemerintah. Ada tiga poin yang menjadi catatan Pratama berkaitan dengan dugaan kebocoran data tersebut.
Yakni, penguatan sistem dan SDM, adopsi teknologi untuk pengamanan data, serta perlunya UU PDP yang tegas dan ketat seperti aturan yang sudah diterapkan di Eropa. Itu dinilai penting oleh Pratama lantaran Indonesia masih dianggap rawan peretasan. ”Kebocoran data di Indonesia sudah kritis seperti ini, seharusnya pemerintah dan DPR bisa sepakat untuk mengegolkan UU PDP,” ungkap dia kepada awak media kemarin.
Tanpa UU tersebut, Pratama menyatakan bahwa pengelola data pribadi yang berada di bawah naungan instansi pemerintah maupun swasta tidak bisa dimintai pertanggungjawaban apabila ada kebocoran data. ”Dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM, dan keamanan sistem informasinya,” jelas pakar keamanan siber tersebut.
Berdasar pengecekan yang dilakukan CISSReC di RaidForums, data BRI Life itu ditawarkan akun bernama Reckt. Total ada dua juta data nasabah dan 463 ribu data scan dokumen. Data yang dijual berisi informasi yang cukup lengkap. Mulai data pelanggan, total manfaat, total periode, KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, sampai bukti surat kesehatan seperti EKG.
Pratama menambahkan, informasi lain terkait bukti transfer setoran asuransi, KTP, dokumen pendaftaran asuransi, formulir pernyataan diri dan kesanggupan, hingga tangkapan layar perbincangan WhatsApp nasabah dengan pegawai BRI Life juga disertakan dalam penjualan. Lebih lanjut, dia menyatakan bahwa dari tangkapan layar yang dibagikan Hudson Rock, data tersebut diambil setelah pembobolan situs.
Karena itu, Pratama menilai perlu juga dilakukan forensik digital guna mengetahui celah keamanan yang dipakai peretas untuk menerobos sistem keamanan situs tersebut. ”Apakah dari sisi SQL (structured query language, Red) sehingga diekspos SQL injection atau ada celah keamanan lain,” ungkapnya. Dia juga menjelaskan bahwa sumber kebocoran data adalah peretasan, bukan jual beli data dari pihak internal atau pegawai.
