JAKARTA - Sekitar 230 ribu database pasien COVID-19 seluruh Indonesia, dijual melalui situs terbuka (Dark Web) Raid Forums. Penjualnya adalah Database Shopping. Data yang dijual adalah informasi sensitif. Seperti nama pasien, nomor telepon, alamat, hasil tes PCR, dan lokasi tempat pasien dirawat. Selain itu, juga ada NIK (nomor induk kependudukan).
"Kasus ini sedang diusut oleh Kominfo dan Bareskrim," ujar Juru Bicara Pemerintah untuk Penanganan COVID-19, Achmad Yurianto di Jakarta, Sabtu (20/6). Kementerian Komunikasi dan Informatika (Kominfo) juga masih menelusuri dugaan peretasan basis data pasien COVID-19 tersebut.
"Database COVID-19 dan hasil cleansing yang ada di data center Kominfo aman," tegas Menkominfo Johnny G Plate di Jakarta, Sabtu (20/6). Kominfo, lanjutnya, sedang menelusuri informasi tersebut dan berkoordinasi dengan Bareskrim Polri bersama Badan Siber dan Sandi Negara.
FIN sendiri mencoba melacak keberadaan sang hacker melalui situs tersebut. Saat diakses oleh FIN, status hacker sedang online. Dari situs tersebut diketahui, peretas atas nama Database Shopping. Dia menjual basis data pasien COVID-19 di Indonesia, tertanggal 18 Juni 2020. Sementara data tersebut dibobol pada 20 Mei 2020. Sementara sang hacker bergabung di situs dark web pada 1- Mei 2020.
Dalam capture yang diunggah, sang hacker melampirkan bukti, sampel data yang dimilikinya. Sampel tersebut terdiri dari tujuh nama WNI dan tiga WNA dengan status pasien dalam pengawasan (PDP) di Provinsi Bali. Dia juga mengklaim memiliki database dari beberapa daerah lainnya.
Fitur spoiler pada situs gelap tersebut menunjukkan data yang diambil. Antara lain berupa ID pengguna, jenis kelamin, usia, nomor telepon, alamat tinggal hingga status pasien. Dia memiliki tingkat reputasi sebesar 40. Selain itu, ada 59 post dan 20 thread. Peretas diduga mengantongi 230.000 data dalam format MySQL dalam unggahan pada situs gelap itu.
MySQL adalah sebuah database management system yang menggunakan perintah dasar SQL. Sistem ini cukup terkenal. Data pasien yang dibocorkan cukup lengkap. Mulai dari nama warga negara Indonesia dan asing yang berstatus ODP maupun PDP. Selain itu, tanggal laporan, status, nama responden, kewarganegaran, kelamin, umur, telepon, alamat tinggal, resiko, jenis kontak, hubungan kasus, tanggal awal risiko, tanggal akhir resiko, hasil rapid test dan tes PCR.
Menanggapi hal itu, anggota Komisi 1 DPR Willy Aditya menyatakan DPR akan mempercepat pembahasan RUU Perlindungan Data Pribadi (RUU PDP). “Kebutuhan akan RUU PDP sangat penting untuk melindungi data pribadi di era saat ini," tutur Willy di Jakarta, Sabtu (20/6). Kementerian Komunikasi dan Informatika (Kemenkominfo) sebelumnya telah mengirimkan surat presiden (surpres) sebagai tindak lanjut pembahasan RUU PDP di parlemen. RUU PDP ditargetkan paling lama tuntas pada Agustus 2020. "Pemerintah ingin Agustus ini selesai," papar Willy.
Terpisah, pengamat keamanan siber dari CISSRec, Pratama Persadha menyebut peretasan dan penjualan data pasien COVID -19 cukup berbahaya. Sebab, data yang dicuri dan dijual cukup lengkap. "Cukup bahaya kalau tersebar. Ini jelas melanggar privasi pasien. Karena cukup lengkap informasinya," ujar Pratama.
Dia menduga data yang dibobol tersebut berasal dari lembaga pemerintah. Namun, untuk memastikannya harus dilakukan pengecekan lebih lanjut. Terutama awal sumber data yang bocor. "Harus dicek melalui digital forensic. Dari mana asal data tersebut. Apakah dari Kemenkes atau lembaga lain yang mengelola data COVID-19," ucap Pratama. (rh/fin)
