MAKASSAR – Lagi, data pribadi rakyat Indonesia berhasil ‘dicuri’. Setelah 1,3 Juta Data Pengguna eHAC juga bocor sekitar bulan Agustus 2021 lalu, kini data pemilih Pemilu 2024 diretas, datanya diambil, kemudian dijual di forum terbatas.
Ketua Komisi Pemilihan Umum Hasyim Asy’ari mengaku mengetahui soal data KPU yang diretas dan dijual. KPU mengetahui pembobolan data terjadi pada Senin, 27 November 2023. Setelah mengetahui peretasan itu, KPU langsung melaporkan ke Badan Siber dan Sandi Negara (BSSN) dan Badan Reserse Kriminal Umum atau Bareskrim Polri.
“KPU mengetahui informasi terkait adanya pihak yang menjual data yang diduga milik KPU sejak Senin, 27 November 2023 sekitar pukul 15.00 WIB,” kata Hasyim, dalam keterangan tertulis, Rabu, 29 Desember 2023.
Setelah tahu adanya peretasan di situs KPU, Hasyim mengatakan langsung melakukan pengecekan terhadap sistem informasi yang disampaikan oleh Threat Actor, yaitu Sistem Informasi Data Pemilih (Sidalih) dan menonaktifkan akun-akun pengguna Sidalih sebagai upaya penanganan peretasan.
Dia mengatakan, KPU senantiasa berkoordinasi dengan BSSN, Bareskrim, pihak pengembang, dan instansi lainnya untuk mendapatkan data dan bukti-bukti digital terkait informasi data tersebut.
Berdasarkan hasil pengecekan bersama, saat ini beberapa analisis, seperti log akses, manajemen pengguna, dan log lainnya, yang diambil dari aplikasi maupun server yang digunakan mengidentifikasi pelaku, jika benar terjadi peretasan terhadap sistem informasi data pemilih.
Lewat unggahannya di BreachForums, Jimbo mengaku berhasil mendapatkan 252 juta data yang sebagian di antaranya terduplikasi. Jimbo kemudian melakukan penyaringan sehingga mendapatkan 204.807.204 data unik dan valid.
Dalam unggahannya di situs/forum jual-beli hasil peretasan tersebut, Jimbo turut membagikan 500 ribu data sebagai sampel untuk menarik pembeli. Dia juga membagikan tangkapan layar laman https://cekdptonline.kpu.go.id/ sebagai bukti bahwa data yang dijualnya itu valid.
Dalam data sampel tersebut tampil beberapa informasi pribadi yang penting, dan rentan disalahgunakan. Di antaranya adalah NIK, nomor KK, nomor KTP, nomor passport untuk pemilih di luar negeri, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS. Dan 500 data sampel tersebut valid setelah dicek oleh beberapa kalangan ke laman https://cekdptonline.kpu.go.id/.
Dampak yang mungkin akan timbul akibat kebocoran data tersebut, turunnya kepercayaan terhadap kredibilitas, kapabilitas dan kapasitas KPU sebagai penyelenggara Pemilu 2024, khusus dalam hal keamanan dan keaslian data.
Logis bila peserta (kontestan dan pemilih) di Pemilu 2024 berpikir kemungkinan buruk, jika DPT (data pemilih tetap) bisa bocor, maka data rekapitulasi penghitungan suara juga memiliki kerentanan yang sama.
Perhitungan suara dari kertas suara berikut kertas catatan hasil rekapitulasi dari setiap TPS yang dilakukan secara manual, yang menjadi acuan perhitungan secara digital, belum bisa sepenuhnya menjamin keamanan dan keaslian data hasil pemilihan.
Salah satu skenario buruk yang mungkin saja terjadi, karena rentan ‘kebocoran’ maka data penghitungan suara di sistem bisa diatur, lalu data manual ‘tinggal disesuaikan’.
Jika hasil penyelidikan tim dari KPU, tim dari BSSN, kemudian dari tim Cyber Crime Mabes Polri dan juga BIN dan Kemenkominfo, berhasil menemukan sumber kebocoran, menutup dan memperbaiki kelemahan sistem dan manusia, maka kepercayaan publik Indonesia yang mudah lupa mungkin saja kembali pulih sebagian. Publik yang tidak lupa, berhak mengambil langkah hukum, semacam ‘Class Action’ atas kelalaian KPU melindungi data pribadi yang dilindungi Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).
‘Data pribadi’ juga disebutkan dan diatur dalam berbagai peraturan perundang-undangan lainnya, antara lain; UU No. 23 Tahun 2006 jo. UU No. 24 Tahun 2013 tentang Administrasi Kependudukan, UU No. 36 Tahun 2009 tentang Kesehatan, UU No. 43 Tahun 2009 tentang Kearsipan, UU No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) beserta amandemennya.
Kepercayaan kontestan yang menginginkan kontestasi jujur dan akuntabel belum tentu langsung pulih. Peran Bawaslu amat dibutuhkan untuk menjamin peran dan fungsinya sebagai Badan Pengawas Pemilihan Umum di NKRI, mampu membantu KPU melaksanakan PEMILU dengan asas LUBER, langsung, umum, bebas dan rahasia, setelah insiden kebocoran DPT.
Mungkin perlu melibatkan pengawas independen yang mewakili dua partisan utama dalam setiap pemilihan umum, yaitu kontestan dan pemilik hak pilih atau rakyat.
Semasa pandemi dengan PPKM yang mewajibkan uji SWAB dengan hasil negatif Covid-19 dan telah melakukan dua kali vaksinasi Covid sebelum bepergian, menjadi rahasia umum di kalangan terbatas, status layak terbang dan bepergian di aplikasi eHAC bisa diatur dengan membayar uang jasa jumlah tertentu. Penjual jasa ini beroperasi di forum-forum online dalam lingkup yang terbatas, hingga ditawarkan di platform market place. Beberapa operator ada yang berhasil ditangkap kepolisian.
Selain sebab teknis mengapa data DPT bisa bocor, menyelidiki sebab non-teknis juga amat penting. Contohnya status layak bepergian di aplikasi eHAC semasa pandemi Covid yang bisa diaturkan. Bukan hacker jenius yang berhasil membobol, tetapi operator biasa yang belum tentu menguasai script kode injeksi database, untuk mengambil data kemudian diubah atau dicuri.
Semoga KPU dan tim yang bekerja bisa segera memperbaiki kebocoran, teknis maupun non-teknis dan segera mengembalikan kepercayaan publik.
Di zaman yang serba bersilangan antara kata dan perbuatan, satu tambahan ketidakpercayaan publik, sudah terlalu banyak.
