TEMPO.CO, Jakarta - Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya, menanggapi dugaan kebocaran 26 juta data pelanggan yang terjadi di IndiHome. Sedikitnya terdapat empat risiko yang muncul dari kebocoran data itu.

Risiko pertama adalah data akan digunakan sebagai dasar untuk merancang rekayasa sosial phishing yang menyasar pemilik data. “Penipu memalsukan diri sebagai customer service bank meminta kredensial transaksi untuk mencuri dana nasabah,” ujar Alfons lewat keterangan tertulis pada Selasa, 23 Agustus 2022.

Adapun risiko kedua adalah data yang bocor dapat digunakan untuk mempermalukan pemilik data. Alfons mencontohkan sejumlah data itu di antaranya berupa browsing history soal penyakit tertentu yang sifatnya rahasia, kecenderungan seksual yang menyimpang, kunjungan ke situs porno atau hal lain yang sifatnya sangat pribadi dan rahasia.

Risiko ketiga yakni data bocor mengandung informasi penting seperti data kependudukan yang bisa digunakan untuk membuat KTP bodong. KTP palsu itu yang kemudian dijadikan alat untuk melakukan tindak kejahatan. “Pemilik data yang bocor ini akan menjadi korban dan berurusan dengan pihak berwajib,” tutur Alfons.

Sementara risiko keempat, Alfons mengutip Cambridge Analitica, data yang bocor digunakan untuk profiling korban dan menjadi sasaran iklan atau algoritma. Tujuannya untuk mengubah pandangan politiknya dan hal ini terbukti mengakibatkan kekacauan politik seperti yang terjadi di Amerika, Brexit dan Arab Spring.

Lebih jauh Alfons menyebutkan kecenderungan umum di Indonesia adalah sikap denial dari pengelola data setiap kali mengalami kebocoran data. Mereka, menurut dia, tidak mengakui adanya kebocoran data.

Para pengelola data itu, kata Alfons, lalu mengumumkan bahwa pihaknya sudah memperbaiki tata kelola datanya seperti mengikuti standar pengelolaan data yang baik (ISO 27001, ISO 27701, NIST Security Framework). Hal ini disampaikan kepada pemilik data bahwa menjadi korban eksploitasi kebocoran data tersebut.

“Tetapi hal pertama yang dilakukan adalah sibuk berakrobat menutupi malu dan fakta telah terjadi kebocoran data. Lebih parahnya lagi, ada yang malah menyalahkan pelanggannya yang awam bahwa pelanggannya yang menjadi penyebab kebocoran data,” tutur dia.

<!--more-->

Padahal, kata Alfons, seharusnya jika data bocor, pengelola data bertanggung jawab atas kebocoran data ini. Pengelola data juga wajib memberikan informasi kepada pemilik data bahwa data yang dikelolanya sudah bocor dan berpotensi disalahgunakan sehingga bisa mengambil langkah pencegahan.

“Jadi melakukan penyangkalan jika mengalami kebocoran data akan membuat pemilik data tidak waspada dan akan dengan mudah menjadi korban eksploitasi dari data yang bocor itu,” ucap Alfons.

Mengenai data pengguna IndiHome yang bocor dan disebarkan di situs breached, menurut analisa Vaksincom, data itu berasal dari file dengan nama "metranet_log.csv" yang berukuran 16.79 GB dengan jumlah data sebanyak 26,7 juta baris dan 12 kolom.

Data yang bocor tersebut adalah data browsing history tahun 2018 dan 2019 sebanyak 26.730.797 baris dan selain mengandung data waktu browsing, situs yang dikunjungi dan mayoritas memiliki data tambahan jenis kelamin, nama lengkap dan NIK.

SVP Corporate Communication and Investor Relation Telkom Ahmad Reza sebelumnya memastikan semua data pelanggan telah tersimpan cukup aman. Terkait informasi yang beredar dan mengatakan 26 juta data pelanggan yang terdiri dari data pribadi dan browsing history IndiHome bocor dan dijual di forum breached.to, Reza menegaskan hal tersebut tidak valid.

"Dari hasil investigasi yang dilakukan, Telkom memastikan bahwa data pelanggan yang diduga bocor itu tidak mengandung ID IndiHome yang valid serta tidak ada dampaknya terhadap pelanggan," kata Reza.

MOH KHORY ALFARIZI | BISNIS

Baca: Kepala PPATK Sebut Pelaku Judi Online Sangat Piawai Hilangkan Jejak, Ini Deretan Modusnya

Ikuti berita terkini dari Tempo di Google News, klik di sini.