TEMPO.CO, Jakarta - Situs Komisi Pemilihan Umum (KPU), dengan tautan kpu.go.id, kembali menjadi sasaran serangan siber oleh peretas atau hacker. Kali ini, peretas dengan nama anonim ‘Jimbo’ mengklaim telah berhasil mendapatkan sekitar 204 juta data pemilih tetap (DPT) dari situs penyelenggara pemilu itu.
Informasi peretasan situs KPU ini diketahui setelah Jimbo mengunggah sebuah postingan di situs BreachForums, tempat yang biasa digunakan untuk menjual hasil peretasan. Dia membagikan 500 ribu data sampel yang berhasil didapatkannya dari situs KPU. Dia juga menyertakan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ guna memverifikasi kebenaran data yang didapatkan.
Dalam unggahan tersebut, dia juga menyebutkan bahwa total ada 252 juta data yang didapatkan, yang beberapa isinya berupa data duplikasi. Setelah dilakukan penyaringan, ada sekitar 204.807.203 data unik yang didapatkan.
Dari data yang diretas Jimbo, ada beberapa data pribadi yang cukup penting. Mulai dari Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (KK), dan Nomor KTP—berisi nomor paspor untuk pemilih yang berada di luar negeri.
Selain itu, ada juga data pribadi lainnya, berupa nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan, dan kabupaten serta kodefikasi TPS.
Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha, menganalisis kebocoran dari situs Komisi Pemilihan Umum (KPU).
Pratama menjelaskan kemungkinan besar hacker dengan anonim Jimbo itu berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id. Dia menduga hacker menggunakan metode phising, social engineering atau melalui malware.
“Di mana dengan memiliki akses dari salah satu pengguna itu Jimbo mengunduh data pemilih serta beberapa data lainnya,” ujar dia lewat keterangan tertulis pada Rabu, 29 November 2023.
Menurut Pratama, jika Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini akan sangat berbahaya. Pasalnya, akun role admin itu bisa saja dipergunakan untuk mengubah hasil rekapitulasi perhitungan suara saat Pemilu berlangsung.
“Yang tentunya akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional,” ucap dia.
Pratama juga mengatakan perlu adanya audit forensik dari sistem keamanan serta server KPU. Tujuannya untuk memastikan titik serangan yang dimanfaatkan peretas untuk mendapatkan data yang diklaim berasal dari situs KPU itu.
Sambil melakukan investigasi, dia berkata, sebaiknya tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU. Hal ini untuk mencegah user peretas kembali dipergunakan. “CISSReC sebelumnya sudah memberikan peringatan kepada Ketua KPU tentang vulnerability di sistem KPU pada 7 Juni 2023 lalu,” kata dia.
Di sisi lain, Alfons Tanujaya, pakar keamanan siber, juga memprediksi bahwa kemungkinan besar data DPT di situs KPU bocor karena ada peretas yang berhasil membangun backdoor di sistem KPU. “Jadi ada peretas yang berhasil membangun backdoor pada sistem KPU untuk cek DPT online dan mereka mengkopi filenya,” ujarnya, Rabu, 29 November 2023.
Selanjutnya: Data DPT dijual Rp 1,2 miliar
Usai mengklaim berhasil mendapatkan sekitar 204 juta data DPT Pemilu 2024, peretas dengan anonim Jimbo itu pun membagikan sekitar 500 ribu data contoh yang berhasil didapatkannya dari website KPU pada situs Breach Forum.
Pakar keamanan siber dari CISSReC, Pratama Persadha, mengatakan sudah melakukan verifikasi data sampel yang diberikan secara random melalui website cek DPT. Hasilnya, data yang dibagikan Jimbo sama dengan data milik CISSReC, termasuk nomor TPS di mana pemilih terdaftar.
“Jimbo menawarkan data yang berhasil dia dapatkan seharga US$ 74.000 atau hampir setara Rp 1,2 miliar,” ucap Pratama.
Data yang Bocor Berasal dari Data Pendaftaran Pemilih
Lembaga Studi dan Advokasi Masyarakat (ELSAM) menilai data yang bocor itu diduga terjadi pada data pendaftaran pemilih (voter registration database), yang telah ditetapkan menjadi daftar pemilih tetap (electoral rolls) pada Juli 2023 lalu oleh Komisi Pemilihan Umum (KPU).
“KPU telah mengembangkan Sistem Informasi Pendataan Pemilih (SIDALIH), yang digunakan untuk menyusun, melakukan pemutakhiran, dan konsolidasi data pemilih,” kata Direktur Eksekutif ELSAM Wahyudi Djafar dalam keterangan pers, Rabu, 29 November 2023.
Penggunaan sistem ini dituangkan dalam Keputusan KPU Nomor 81 Tahun 2022 tentang Penetapan Aplikasi Sistem Informasi Data Pemilih Berkelanjutan dan Portal Lindungihakmu sebagai Aplikasi Khusus KPU. Sistem ini menjadi platform untuk melakukan harmonisasi dengan data-data sistem informasi kependudukan yang dikelola Kementerian Dalam Negeri, yang juga berisi informasi bagi pemilih.
Menurut Wahyudi, aplikasi itu memuat data pribadi NKK, NIK, nama lengkap, tempat, dan tanggal lahir, alamat, status perkawinan, status kepemilikan e-ktp, status disabilitas (bagian dari sensitif), serta keterangan status apakah masih pemilih aktif atau sudah meninggal.
“Artinya sejumlah item data pemilih tersebut merupakan bagian dari data pribadi yang harus dilindungi,” tuturnya.