Ahli soal Data 2 Juta Nasabah BRI Life Bocor: Sahkan UU PDP

Pakar keamanan siber dari Chairman CISSReC Pratama Persadha meminta pemerintah segera mengesahkan Undang-Undang (UU) Perlindungan Data Pribadi (PDP). Hal ini penting dikarenakan kasus kebocoran data pribadi di Indonesia makin banyak terjadi dan yang terbaru menimpa para nasabah BRI Life dan dijual secara online.

Ia mengatakan untuk mencegah hal ini kembali terulang, UU PDP dapat menjadi solusi. Asalkan, memuat pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat Indonesia.

Menurut Pratama juga sebaiknya penguatan sistem dan SDM harus ditingkatkan dengan melakukan adopsi teknologi yang utamanya untuk pengamanan data.

"Indonesia sendiri masih dianggap rawan peretasan karena memang kesadaran keamanan siber masih rendah. Yang terpenting dibutuhkan UU PDP yang isinya tegas dan ketat seperti di Eropa. Ini menjadi faktor utama, banyak peretasan besar di tanah air yang menyasar pencurian data pribadi," ujar Pratama dalam keterangan tertulisnya, dikutip Rabu (28/7).

Lihat Juga : Kominfo Investigasi Data 2 Juta Nasabah BRI Life Diduga Bocor

Menurut dia kebocoran data di Indonesia sudah kritis sehingga seharusnya Pemerintah dan DPR bisa sepakat untuk menggolkan UU PDP.

"Tanpa UU PDP yang kuat, para pengelola data pribadi baik lembaga negara maupun swasta tidak akan bisa dimintai pertanggungjawaban lebih jauh dan tidak akan bisa memaksa mereka untuk meningkatkan teknologi, SDM dan keamanan sistem informasinya," ungkapnya.

Kronologi BRI Life

Dugaan data pribadi nasabah BRI Life dicuri bermula saat perusahaan pemantau kejahatan cyber, Hudson Rock menyebutkan dalam akun twitternya bila pencurian data dialami BRI Life.

Dalam tangkapan layar terlihat banyak domain dan subdomain dari BRI yang datanya diambil.

Lalu saat dicek pada raidforums, ada akun bernama Reckt sempat mengupload sampel data yang dia jual, namun kemudian dihapus. Akun tersebut dikatakan kedapatan menjual Database Nasabah BRI LIFE INSURANCE (2 juta lebih nasabah) dan Scan Dokumen (lebih dari 463 ribu).

Databasenya ini memiliki pin polis asuransi (sha1), lengkap tentang pelanggan yang menggunakan ASURANSI BRI LIFE, total manfaat, dan total periode tahun.

Lalu juga ada dokumen bermacam-macam seperti KTP, KK, NPWP, foto buku rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer, bukti keuangan, bukti surat kesehatan seperti EKG, diabetes, dan lainnya.

Lihat Juga : Polisi Usut Dugaan Bocor Data Nasabah BRI Life Dijual Online

"Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga ada file database berisi 2 juta nasabah BRI Life berukuran 410MB. Untuk sampel sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file lengkap tersebut ditawarkan dengan harga US$7.000 dan dibayarkan dengan bitcoin," ujar Pratama.

Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi rekening, bukti transfer setoran asuransi, KTP, ada juga tangkapan layar perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi, KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan polis asuransi jiwa juga lengkap disertakan.

"Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life," ucap Pratama.

Lihat Juga : Pembahasan RUU PDP Deadlock, DPR Sebut Kominfo Egois

Bila diperhatikan dari tangkapan layar yang dibagikan Hudson Rock, data ini diambil karena pembobolan situs. Bisa dilihat bagaimana situs-situs BRI Life disebutkan, bahkan beserta username atau akun login, password dan IP.

"Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem," ucap dia.

Pratama menambahkan ini juga bisa disimpulkan sumber kebocoran data akibat peretasan, bukan hasil jual beli data dari pihak internal atau pegawai.