TEMPO.CO, Jakarta - Pemerintah kembali kebobolan. Lebih dari 6 juta data Nomor Pokok Wajib Pajak (NPWP) yang terdaftar di Direktorat Jenderal Pajak bocor dan diperjualbelikan. Hacker pembobol mengklaim data tersebut termasuk milik Presiden Jokowi, serta anaknya Gibran Rakabuming Raka dan Kaesang Pangarep, Menteri Keuangan Sri Mulyani Indrawati, hingga Menteri Perdagangan Zulkifli Hasan.
"Sebanyak 6 juta data NPWP diperjualbelikan dengan harga sekitar 150 juta rupiah,” kata Pendiri Ethical Hacker Indonesia Teguh Aprianto melalui akun X miliknya pada Rabu, 18 September 2024.
Data yang bocor tersebut termasuk Nomor Identitas Kependudukan (NIK), NPWP, alamat, nomor telepon, alamat email.
Teguh menyertakan gambar berupa tangkapan layar di forum jual beli data hasil peretasan yang menunjukkan akun dengan nama Bjorka sebagai user mengklaim telah mengumpulkan lebih dari 6,6 juta data pribadi yang dijual di forum tersebut dengan harga US$ 10 ribu atau setara dengan Rp 152,96 juta.
Informasi mengenai kebocoran data NPWP itu juga diunggah oleh perusahaan keamanan siber Falcon Feeds di platform X. Namun, dalam pernyataannya, mereka menyebut keaslian informasi itu belum terverifikasi.
Bocornya data dari tangan pemerintah ini sudah terjadi yang ke sekian kali.
Pakar keamanan siber Dr. Pratama Persadha mengatakan, Presiden Jokowi perlu cepat membentuk badan yang menjadi Penyelenggara Pelindungan Data Pribadi selain untuk memenuhi ketentuan Undang-undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) yang mulai berlaku pada tanggal 18 Oktober 2024.
Sesuai amanat pasal 59 undang-undang tersebut, Komisi Penyelenggara Pelindungan Data Pribadi bertugas melaksanakan perumusan dan penetapan kebijakan dan strategi Pelindungan Data Pribadi, pengawasan terhadap penyelenggaraan Pelindungan Data Pribadi, dan penegakan hukum administratif terhadap pelanggaran Undang-Undang ini.
Meskipun undang-undang yang disahkan 18 Oktober 2022 akan berlaku hanya dua hari sebelum Jokowi lengser, ia tetap bertanggung jawab mengeluarkan Keppres turunan Undang-undang Perlindungan Data Pribadi termasuk pembentukan lembaga pengaturnya, kata Pratama seperti dikutip Antara, Kamis, 19 September 2024.
"masih ada waktu bagi Presiden untuk membentuk lembaga Penyelenggara Pelindungan Data Pribadi, yaitu sampai 17 Oktober mendatang," katanya.
Sebelumnya, Lembaga Riset Keamanan Siber CISSReC mengungkapkan berbagai insiden siber terjadi secara beruntun di Indonesia, mulai dari kegagalan sistem Pusat Dana Nasional Sementara (PDNS) karena serangan ransomware, Penjualan data pribadi dari Inafis oleh seorang peretas dengan nama MoonzHaxor di darkweb, peretasan Badan Intelijen Strategis (Bais), Kemenhub, KPU, hingga peretasan dan pencurian data pribadi dari 4,7 juta aparatur sipil negara (ASN) yang berasal dari Badan Kepegawaian Negara (BKN).
Maraknya kebocoran data yang terjadi ini, menurut Pratama yang merupakan dosen pascasarjana pada Sekolah Tinggi Intelijen Negara (STIN), juga menyebabkan meningkatnya penipuan dengan memanfaatkan data pribadi yang bocor tersebut, penggunaan data curian untuk mengambil pinjol, serta menerima pengiriman iklan tentang ajakan bermain judi online.
Apalagi, kata dia, pelindungan data pribadi juga masuk ke dalam pelindungan hak asasi manusia karena merupakan amanat dari Pasal 28G Ayat (1) Undang-Undang Dasar (UUD) Tahun 1945 yang menyatakan bahwa setiap orang berhak atas perlindungan data pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi.
Dengan tidak adanya Lembaga/Komisi PDP yang dapat memberikan sanksi tersebut, perusahaan atau organisasi yang mengalami kebocoran data pribadi seolah-olah abai terhadap insiden keamanan siber, katanya.
Bahkan, mereka juga tidak mempublikasikan laporan terkait dengan insiden pencurian data. Padahal, hal tersebut melanggar UU PDP Pasal 46 ayat (1). Dalam undang-undang ini menyebutkan bahwa dalam hal terjadi kegagalan pelindungan data pribadi, pengendali data pribadi wajib pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada subjek data pribadi dan lembaga.
Hanin Marwah berkontribusi dalam penulisan artikel ini.
Pilihan Editor Gempa Bandung: 82 Cedera, 800 Bangunan Rusak 14 Jadwal Kereta Whoosh Dibatalkan