Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya."
Semarang (ANTARA) - Pakar keamanan siber dari Communication and Informatian System Security Research Center (CISSReC) Doktor Pratama Persadha memandang penting Komisi Pemilihan Umum (KPU) melindungi data pemilih dari peretas.
Menjawab pertanyaan ANTARA di Semarang, Jumat, Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC ini mengingatkan akan bahaya peretasan terhadap data tersebut jika pihak tidak bertanggung jawab menyebarkan dan menggunakannya, khususnya nomor kartu tanda penduduk (KTP) dan kartu keluarga (KK).
Baca juga: Mampukah kasus Tokopedia percepat pembahasan RUU PDP?
Baca juga: Pakar: Tokopedia harus tanggung jawab atas jual beli data penggunanya
Pratama Persadha mengemukakan hal itu ketika merespons kabar bocornya 2,3 juta pemilih dari KPU, sebagaimana info dari akun Twitter @underthebreach.
"Saat dicek di Raid Forums data yang disajikan plain dan bisa di-download member secara gratis," kata Pratama yang pernah sebagai Ketua Tim Lembaga Sandi Negara (sekarang BSSN) Pengamanan Teknologi Informasi (TI) KPU pada Pemilu 2014.
Adapun data yang disebar di forum internet mencakup nama, jenis kelamin, alamat, nomor KTP dan KK, tempat tanggal lahir, usia, serta status lajang atau menikah.
Data yang disebar pelaku adalah data pada tahun 2013, setahun sebelum Pemilu 2014, sebagian besar di antaranya data pemilih DIY. Akun yang menyebarkan di Raid Forums adalah Arlinst.
Menurut Pratama, data yang disebar tanpa enkripsi sama sekali. Nomor KTP dan KK bersamaan, misalnya bisa untuk mendaftarkan nomor seluler dan melakukan pinjaman daring (online) bila pelaku mahir melengkapi data.
Saat dicek kembali, kata dia, halaman yang dibuka oleh akun Arlinst ini sudah hilang. Bahkan, saat dicek di Twitter banyak akun yang men-tracking akun Arlinst dan mencurigai akun tersebut sedang mencari sensasi, terlihat dari beberapa akun medsos dan marketplace-nya.
Terakhir di Raid Forums terpantau data sudah di-download oleh sekitar 100 akun. Untuk men-donwnload sendiri harus memiliki minimal delapan kredit, yang setiap 30 kredit harus dibeli seharga delapan euro via paypal.
Baca juga: Tips transaksi aman di internet
Baca juga: 91 juta akun diobral lewat "dark web", ganti "password" aktifkan OTP
Meski KPU menjelaskan bahwa itu adalah data terbuka, menurut Pratama, bukan berarti tidak perlu dilindungi. Bukan informasi rahasia, melainkan informasi yang perlu dilindungi minimal dienkripsi agar tidak sembarangan orang bisa memanfaatkannya.
"Apalagi, verifikasi data daftar pemilih tetap (DPT) hanya perlu data nomor induk kependudukan (NIK), bukan semua data dijadikan satu, apalagi tanpa pengamanan," kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Bila data ini dikombinasikan dengan data Tokopedia dan Bukalapak yang lebih dahulu terekspos, lanjut dia, akan dihasilkan data yang cukup berbahaya dan bisa dimanfaatkan untuk kejahatan.
"Misalnya, mengombinasikan data telepon dari marketplace dengan data KTP dan KK, jelas ini sangat berbahaya," katanya menekankan.
Pratama menilai peristiwa ini juga harus menjadi peringatan bagi dukcapil agar bisa mengamankan data kependudukan. Selain itu, perlu dipikirkan lebih jauh terkait dengan pengamanan enkripsi pada data penduduk.
Peristiwa ini, kata Pratama, juga membuat pengamanan sistem TI KPU dipertanyakan, apalagi pada tahun 2020 ada agenda pilkada. Hal ini jangan sampai ini menjadi isu tersendiri bagi KPU. Selama ini sistem TI KPU selalu dijadikan rujukan saat hitung cepat hasil pemilu maupun pilkada.
"Kita tentu khawatir, setiap gelaran pemilu dan pilkada KPU selalu mendapat ancaman untuk diretas. Bagi dukcapil kerawanan ini harus menjadi catatan penting untuk waspada, jangan sampai sistem ditembus dan peretas bisa memodifikasi sesuka mereka," katanya menegaskan.
Pratama juga melihat ada kemungkinan data yang disebar memang sebelumnya sudah ada di publik karena data Pemilu 2014 sudah lama tersebar di forum internet.
Ia mengungkapkan bahwa seluruh data DPT ternyata juga di-share ke beberapa pemangku kepentingan KPU. Akan tetapi, kalau melihat isi folder DPT DIY yang ikut dipublis, sepertinya ada kemungkinan memang si peretas bisa masuk ke sistem TI KPU atau sistem TI pemangku kepentingan KPU yang juga memiliki data ini.
Untuk memastikannya, pakar keamanan siber ini memandang perlu segera melakukan audit keamanan informasi atau audit digital forensic ke sistem TI KPU untuk menjawab isu kebocoran data ini.
"Audit ini juga bisa menemukan sebab dan celah kebocoran sistem kalau memang ada," katanya.
Kalau pelaku bisa masuk ke server KPU, lanjut Pratama, ada kemungkinan tidak hanya DPT yang mereka ambil, tetapi juga bisa mengakses hasil perhitungan pemilu.
"Secara teknis kalau peretas bisa mencuri data, ada kemungkinan juga bisa mengubah data. Sangat bahaya sekali apabila hasil pemungutan suara pemilu diubah angkanya," kata Pratama menandaskan.
Baca juga: Data pengguna Tokopedia diretas, UU Perlindungan Data Pribadi urgen
Baca juga: 74 tahun persandian, BSSN didorong lahirkan sistem pemilu elektronik
Pewarta: D.Dj. Kliwantoro
Editor: Kunto Wibisono
Copyright © ANTARA 2020