Reporter: Ahmad Febrian, Maizal Walfajri | Editor: Ahmad Febrian
KONTAN.CO.ID - JAKARTA. Seakan menjadi hal biasa, lagi-lagi terjadi kebocoran data nasabah. Kali ini menimpa KreditPlus. Data perusahaan multifinance itu sudah dibagikan tanggal 16 Juli 2020 lalu.
Menurut Pakar keamanan siber Pratama Persadha data tersebut diupload oleh anggota situs RaidForums dengan nama “ShinyHunters”. Seperti biasa, member di RaidForums membagikan melalui sistem pembayaran kredit, mata uang forum tersebut yang jika dikonversi sekitar Rp 50.000.
Setelah membayar, maka kita akan mendapatkan sebuah link yang diarahkan untuk mendowload file berisi ratusan ribu data pelanggan KreditPlus tersebut. File unduhan sebesar 78MB tersebut harus di ekstrak dan menghasilkan sebuah file sebesar 430MB.
Setelah file dibuka, barulah kita melihat 819.976 data nasabah. Mulai dari nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, dan lainnya.
Pratama menjelaskan, informasi yang bocor ini adalah data sensitif yang sangat lengkap, ini sangat berbahaya untuk nasabah. Karena kelengkapan data nasabah KreditPlus ini memancing kelompok kriminal untuk melakukan penipuan dan tindak kejahatan yang lain. Kontan berupaya menghubungi Direktur KreditPlus, Peter Halim untuk meminta konfirmasi, tapi belum ada jawaban.
Data tidak dienkripsi
Masalah utama di tanah air belum ada undang-undang yang memaksa para penyedia jasa sistem elektronik mengamankan dengan maksimal data masyarakat mereka himpun. “Sehingga data yang seharusnya semua dienkripsi, masih bisa dilihat dengan mata telanjang,” jelas Pratama, yang juga Chairman Communication & Information System Security Research Center, dalam rilis ke Kontan.co.id, Senin (3/8) malam.
Negara punya tanggungjawab melakukan percepatan pembahasan RUU Perlindungan Data Pribadi. Nantinya dalam UU tersebut harus disebutkan bahwa setiap penyedia jasa sistem transaksi elektronik (PSTE) yang tidak mengamankan data masyarakat, bisa dituntut ganti rugi dan dibawa ke pengadilan.
Hal serupa ada di regulasi perlindungan data pribadi bagi warga Uni Eropa, GDPR atau General Data Protection Regulation. Setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro, “Bisa dibayangkan bila Kreditplus ini ada di luar negeri, bisa dikenai pasal kelalaian dalam GDPR. Sama juga dengan peristiwa kebocoran data yang sudah terjadi di tanah air sebelumnya,” terang pria yang juga dosen pascasarjana Sekolah Tinggi Intelijen Negara (STIN) itu.
Peristiwa pencurian data yang terus berulang ini sebaiknya mendorong Komenterian Kominfo serta Badan Siber dan Sandi Negara (BSSN) lebih sering turun ke lapangan melakukan edukasi dan memaksa PSTE untuk membangun sistem yang lebih baik. Terutama dalam melindungi data nasabah atau pelanggan platform mereka. Karena keamanan siber ini akan menjadi salah satu hal yang dijadikan patokan investor untuk berbisnis di tanah air.
Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya yang buat password yang baik dan kuat, aktifkan two factor authentication. ”Pasang anti virus di setiap gawai yang digunakan, jangan menggunakan wifi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan, serta pengamanan standar lainnya,” imbuh Pratama.
Cek Berita dan Artikel yang lain di Google News
