Penjualan data warga hasil peretasan marak terjadi. Jual beli ini berlangsung hampir setiap saat dengan variasi data beragam. Harian Kompas menelusuri penjualan data ini di situs Raidforums.com periode September-Oktober 2021. Salah satu penjual data di situs ini adalah akun Kotz yang menawarkan 270 juta data warga Indonesia per 29 September 2021.
Sebanyak 20 juta diantaranya dilengkapi foto. Kotz mengklaim datanya bersumber dari Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. ”Hai teman-teman. Data informasi pribadi lengkap (dari) pemerintah Indonesia untuk dijual. 270+ juta. Tidak ada kata sandi,” tulis Kotz di Raidforums.com seperti yang terlihat Sabtu (23/10/2021).
Per hari itu, Kotz memasang harga 0,35 bitcoin (BTC) harga yang dipatok sejak 19 Oktober 2021 untuk 270 juta data warga Indonesia. Sementara, 29 September 2021 lalu, Kotz memasang tarif 0,65 BTC untuk data-data tersebut. Pembeli data asal Indonesia, Joe, bukan nama sebenarnya, beruntung mendapatkan data itu dengan harga 0,15 BTC lewat negosiasi beberapa kali.
Dengan harga itu, Joe membeli data 270 juta warga Indonesia dari Kotz senilai Rp 133.050.000, hasil konversi per Selasa (26/10) pukul 08.10 di Indodax.com bahwa 1 BTC bernilai Rp 887.000.000. Artinya, 1 data warga (dari 270 juta data) yang dibeli Joe hanya senilai Rp 0,49. Tampilan akun Kotz berubah 11 kali per Sabtu (23/10). Adapun modifikasi laman terakhir dilakukan pada 19 Oktober 2021.
Kotz membagi lima kategori datanya, antara lain 273 juta data pribadi (235 juta data warga dengan nomor induk kependudukan), data 272 juta gaji warga Indonesia (satu orang ada yang memiliki beberapa sumber gaji), 660.000 informasi perusahaan, informasi alamat warga, dan nomor rekening bank.
Di laman akunnya, Kotz menampilkan contoh data yang diklaimnya sebagai data milik Presiden Joko Widodo. Dia menampilkan data kependudukan presiden, gaji, alamat e-mail, nomor telepon seluler, dan alamat tempat tinggal presiden. Nomor telepon yang ditampilkan Kotz di Raidforums.com sama dengan nomor yang ada pada data yang dibeli Joe.
Kotz yang dalam kolom identitasnya tertulis sebagai advanced user bergabung di forum itu pada 4 Mei 2020. Kotz pertama kali menawarkan data itu pada 12 Mei 2021. Ketika itu, Kotz mengumumkan bahwa ia menjual 279 juta data warga Indonesia dengan harga 0,35 BTC.
Joe meyakini data Kotz dari BPJS Kesehatan. Dia membeli data itu untuk kebutuhan riset. Kesepakatan transaksi pembelian terjadi pekan kedua Oktober melalui platform percakapan Telegram. ”Kotz menyediakan seperti yang dijanjikan. Datanya tidak mengecewakan,” kata Joe, Senin (25/10)
Joe menerima data dari Kotz pertengahan Oktober 2021 sebesar 15 gigabita. Setelah diteliti, struktur, komposisi, dan model penyimpanan datanya menyerupai data BPJS. ”Saya yakin ini data BPJS Kesehatan,” kata Joe. Ini sejalan dengan pengakuan Kotz di lamannya bahwa dia mendapatkan data dari BPJS Kesehatan. Bahkan, Kotz menyampaikan kepada Joe bahwa ada orang dalam yang membantu mendapatkan data itu.
Struktur data Kotz sempat dihubungi pada akhir September lalu. Untuk menguji data yang dijual Kotz, dikirim dua data nomor induk kependudukan (NIK). Pada hari yang sama, Kotz merespons dengan mengirimkan struktur data nama lengkap, tempattanggal lahir, gaji (tahun 2017, 2018, 2019), user input, dan noka dari pemilik NIK tersebut.
Noka adalah istilah di BPJS Kesehatan yang merupakan akronim ”nomor kartu BPJS Kesehatan”. Noka terdiri dari 13 digit angka dimulai dari angka nol. Setelah proses verifikasi, noka ini identik dengan noka yang dimiliki dua orang yang NIK-nya diserahkan kepada Kotz untuk uji data.
Pada saat yang sama, Kompas mendalami dua juta sampel data Kotz dan menemukan bahwa nama-nama penginput data mirip dengan nama pegawai BPJS Kesehatan. Dalam sampel data Kotz itu, misalnya, ada penginput data yang tertulis ”maulina.hutajulu”. Nama itu menyerupai nama Kepala Bidang Kepesertaan dan Pelayanan Peserta BPJS Kesehatan Cabang Pematangsiantar Maulina Hutajulu, seperti informasi yang terdapat di laman www.jamkesnews.com, 15 Juni 2021.
Achmad Yurianto, Ketua Dewan Pengawas BPJS Kesehatan, membantah bahwa data Kotz adalah data dari lembaganya. Yurianto tidak bersedia menjawab pertanyaan lanjutan terkait data tersebut. ”Sampai hari ini (Kamis, 15/10), kami meyakini belum ada data yang keluar dari BPJS. Audit internal menyebutkan, data itu tidak sama dengan data yang kami miliki,” tutur Yurianto.
Terkait kasus ini, Badan Reserse Kriminal (Bareskrim) Polri telah memeriksa sejumlah saksi dari internal BPJS dan pihak lainnya. Pemeriksaan diarahkan kepada analisis log situs Bpjs-kesehatan.go.id. Hingga pekan ketiga Oktober, Polri belum dapat memastikan data Kotz itu data BPJS atau bukan. ”Jadi, nanti akan ada pemeriksaan lanjutan, apakah data itu data eceran atau memang data mentah yang diambil dari server,” ujar Wakil Direktur Tindak Pidana Siber Bareskrim Polri Komisaris Besar Himawan Bayu Aji.
Data lain Penjualan data di Raidforums.com juga dilakukan akun lainnya. Jumat (22/10), akun xpander997 menawarkan data universitas di Indonesia dengan komposisi nomor identitas, data keluarga, nomor telepon, alamat e-mail, nama pengguna untuk log in dan kata sandinya, akun admin, serta akun staf dan dosen universitas. Pemilik akun xpander997 tidak menjelaskan asal data yang disimpan dalam bentukMS SQL(standard query language). Untuk semua data itu, xpander997 memasang harga 1.500 dollar AS atau Rp 21.293.100 per Jumat (22/10).
Akun xpander997 aktif merespons siapa saja yang membutuhkan data itu, salah satunya akun uangharam30 di Raidforums.com, Jumat (22/10). Sehari sebelumnya, akun uang haram30 di situs yang sama mengumumkan jika ia membutuhkan data warga Indonesia dengan nomor telepon. ”Halo saya membutuhkan database Indonesia dengan nomor telepon,” tulis uangharam30, Kamis (21/10).
Selain xpander997, di kolom replay akun uangharam30 sejumlah akun lain menawarkan data serupa. Hal ini disampai kan akun Atif36, Sandra999,dan Janmaat1990. Ketiganya menawarkan data yang dibutuhkan uangharam30 dan menyampaikan bahwa mereka mendetailkan komunikasi lewat jaringan pribadi.
Tidak hanya itu, Sabtu (9/10), akun MDly juga menawarkan data pribadi 80 juta warga Indonesia di situs yang sama. Saat itu, MDly memberikan sampel data sebanyak 1.048.576 dan menjanjikan datanya berisi data pribadi, gaji, dan data terkait pekerjaan.
Forum serupa yang mirip dengan Raidforums.com di antaranya adalah Cracked.to, Nulled.to, dan Eleaks.to. Informasi initerdeteksi melalui pencarian dari situs www.similarweb.com, Selasa (12/10). Digital Forensik Indonesia (DFI) mencatat ada belasan miliar data yang bocor di dunia internasional, termasuk data pribadi warga Indonesia dengan jumlah lebih dari 1 miliar.
Kebocoran data ini berasal dari platform media sosial, penyedia layanan e-mail, e-dagang, teknologi finansial, bisnis retail, perbankan, dan instansi pemerintah. (FAI/DVD/IRE/NDY)