RADAR TANGSEL RATAS – Data Komisi Pemilihan Umum (KPU) diduga kembali mengalami kebocoran. Diperkirakan sebanyak 204 juta data pemilihan tetap (DPT) KPU dibobol dan dijual oleh peretas.
Sebelumnya, pada tahun 2022 peretas Bjorka juga pernah mengklaim mendapatkan 105 juta data pemilih dari website KPU. Kini, berdasarkan laporan dari lembaga riset CISSReC, akun anonim bernama Jimbo mengaku telah meretas situs kpu.go.id dan berhasil mendapatkan data pemilih dari situs tersebut.
Berdasarkan penelusuran lembaga riset CISSReC, akun anonim Jimbo tersebut juga membagikan 500 ribu data contoh yang berhasil dia dapatkan pada salah satu postingannya di situs BreachForums yang biasa dipergunakan untuk menjual hasil peretasan, serta beberapa beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data yang didapatkan tersebut.
Chairman CISSReC Pratama Persadha menyatakan bahwa dalam postingan di forum tersebut Jimbo juga menyampaikan bahwa ada 252 juta data yang berhasil dia dapatkan.
“Ada beberapa data yang terduplikasi, di mana setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data unik di mana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari dengan 514 kab/kota di Indonesia serta 128 negara perwakilan,” papar Pratama kepada wartawan, Selasa malam (28/11/2023).
Menurut Pratama, di dalam data yang didapatkannya itu ada data pribadi yang cukup penting seperti NIK, Nomor KK, nomor KTP atau nomor paspor untuk pemilih yang berada di luar negeri, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS.
“Tim CISSReC juga sudah mencoba melakukan verifikasi data sample yang diberikan secara random melalui website cekdpt, dan data yang dikeluarkan oleh website cekdpt sama dengan data sample yang dibagikan oleh peretas Jimbo, termasuk nomor TPS dimana pemilih terdaftar. Jimbo menawarkan data yang berhasil dia dapatkan seharga USS 74.000 atau hampir setara Rp 1,2 miliar,” tutur Pratama.
Selain itu, kata Pratama, Jimbo juga menunjukkan sebuah foto tangkapan layar halaman website KPU yang kemungkinan berasal dari halaman dashboard pengguna. Dengan foto tersebut, maka kemungkinan besar Jimbo berhasil mendapatkan akses login dengan dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering atau melalui malware.
Hal itu, menurut Pratama, sama halnya dengan memiliki akses dari salah satu pengguna tersebut, Jimbo mengunduh data pemilih serta beberapa data lainnya. Sebelumnya, CISSREC juga sudah memberikan alert kepada Ketua KPU tentang kerentanan di sistem KPU pada tanggal 7 Juni 2023.
Pratama pun mengingatkan, jika Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, tentu saja hal itu sangat berbahaya pada pesta demokrasi pemilu yang akan segera dilangsungkan.
“Karena bisa saja akun dengan role admin tersebut dapat dipergunakan untuk merubah hasil rekapitulasi penghitungan suara yang tentunya akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional,” tutur Pratama.
Untuk memastikan titik serangan yang dimanfaatkan oleh peretas untuk mendapatkan data pemilih yang diklaim berasal dari website KPU tersebut, kata Pratama, perlu dilakukan audit serta forensik dari sistem keamanan serta server KPU. Tapi sampai saat ini belum ada tanggapan resmi dari KPU terkait bocornya data pemilih di forum breachforums tersebut.
“Sambil melakukan investigasi, ada baiknya tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU tersebut, sehingga bisa mencegah user yang semula berhasil didapatkan oleh peretas supaya tidak dapat dipergunakan kembali,” ujar Pratama.
Menurut Komisioner KPU, Betty Epsilon Idroos, pihaknya tengah melakukan penelusuran bersama kepolisian dan Badan Siber dan Sandi Negara (BSSN). “Sekarang lagi kita minta bantuan dari satgas cyber, sekarang yang bekerja BSSN, dia menaungi Mabes,” kata Koordinator Divisi Data dan Informatika KPU RI Betty Epsilon Idroos, kepada wartawan, Selasa (28/11/2023).
Betty mengaku belum dapat memastikan apakah data yang bocor tersebut terkonfirmasi data milik KPU RI atau bukan. “Sudah kita koordinasikan, lagi di-crosscheck dulu ya,” tutur Betty. (ARH)
