BKN Buka Suara Soal 4,7 Juta Data PNS dan PPPK yang Diduga Dijual di Situs Peretas

BKN tengah menyelidiki dugaan kebocoran data pribadi 4,7 juta ASN yang diduga dijual di Breachforums.

BKN Buka Suara Soal 4,7 Juta Data PNS dan PPPK yang Diduga Dijual di Situs Peretas
BKN Buka Suara Soal 4,7 Juta Data PNS dan PPPK yang Diduga Dijual di Situs Peretas. Gambar : Tangkapan Layar X/@FalconFeedsio

BaperaNews - Basis data milik Badan Kepegawaian Negara (BKN) diduga mengalami kebocoran dan dijual di forum peretas Breachforums. Dugaan ini mencuat setelah akun media sosial X @Falcon*** mengunggah informasi terkait pada Sabtu (10/8).

Data yang bocor disebut mencakup informasi pribadi 4.759.218 Pegawai Negeri Sipil (PNS) dan Pegawai Pemerintah dengan Perjanjian Kerja (PPPK) dari seluruh provinsi di Indonesia. Saat ini, BKN tengah melakukan investigasi atas dugaan kebocoran data ini.
  
Plt Kepala Biro Humas, Hukum, dan Kerja Sama BKN, Vino Dita Tama, menyatakan bahwa pihaknya sedang melakukan investigasi terkait dugaan kebocoran data dari laman Satu Data ASN (http://satudataasn.bkn.go.id).

"Sedang dilakukan investigasi," ungkap Vino saat dihubungi pada Minggu (11/8).

Namun, Vino tidak memberikan detail lebih lanjut mengenai proses investigasi maupun dampak dari kebocoran data PNS dan PPPK tersebut.

Chairman Communication & Information System Security Research Center (CISSReC), Pratama Persadha, menjelaskan bahwa dugaan kebocoran data ini pertama kali ditemukan melalui unggahan oleh peretas anonim dengan nama "TopiAx" di Breachforums pada Sabtu (10/8).

Dalam unggahannya, peretas tersebut mengklaim berhasil mendapatkan data milik 4.759.218 ASN yang mencakup nama, tempat dan tanggal lahir, gelar, tanggal pengangkatan sebagai Calon Pegawai Negeri Sipil (CPNS), serta tanggal pengangkatan menjadi PNS.

Baca Juga: Remaja Depok Retas Top Up Kartu KRL 25 Kali Bermodalkan HP

Selain itu, terdapat juga informasi nomor identitas pegawai, nomor SK CPNS dan PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor ponsel, email, pendidikan, dan tahun lulus.

Pratama menambahkan bahwa data yang dicuri mencakup informasi yang sangat sensitif, termasuk data yang sudah diproses menggunakan metode kriptografi.

"Selain data tersebut masih banyak lagi data lainnya, baik yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi," kata Pratama pada Sabtu malam.

Dalam unggahan yang sama, peretas menawarkan seluruh data tersebut dengan harga 10.000 dolar AS atau sekitar Rp160 juta. Ia juga membagikan sampel data yang berisi informasi 128 ASN yang bekerja di berbagai instansi di Provinsi Aceh.

Pratama mengungkapkan bahwa CISSReC telah melakukan verifikasi secara acak terhadap 13 ASN yang namanya tercantum dalam sampel data melalui WhatsApp, dan menurut mereka data tersebut valid. Namun, ditemukan beberapa kesalahan penulisan digit terakhir pada Nomor Induk Pegawai (NIP) dan Nomor Induk Kependudukan (NIK) yang tercantum.

Pada 3 Oktober 2022, BKN telah melakukan nota kesepahaman (MoU) dengan Badan Siber dan Sandi Negara (BSSN) untuk memperkuat data ASN serta meningkatkan kualitas perlindungan informasi dan transaksi elektronik.

Namun, MoU tersebut hanya berlaku selama satu tahun dan telah berakhir pada Oktober 2023. Hingga kini, belum diketahui apakah BKN telah memperpanjang MoU tersebut atau tidak.

Pratama menekankan pentingnya pemerintah untuk segera membentuk Badan Perlindungan Data Pribadi yang dapat mengambil tindakan serta memberikan sanksi kepada Penyelenggara Sistem Elektronik (PSE) yang mengalami insiden kebocoran data.

Ia juga menyarankan agar dibuat regulasi yang memuat konsekuensi hukum tegas bagi PSE yang tidak mampu menjaga sistemnya, baik itu PSE publik maupun privat.

"Jika tidak ada tindakan tegas, maka PSE tidak akan jera dan tidak akan memperkuat sistem keamanan siber serta sumber daya manusia yang dimiliki," jelasnya.

Lebih lanjut, Pratama menyarankan agar semua kementerian dan lembaga pemerintah wajib melakukan penilaian sistem teknologi informasi (IT) secara menyeluruh.

Penilaian ini bertujuan untuk melihat keamanan sistem dari sudut pandang peretas, sehingga instansi dapat segera mengetahui celah keamanan yang mungkin ada di sistemnya dan segera menutupnya sebelum dimanfaatkan oleh peretas sebagai pintu masuk ke sistem.

Assessment ini juga sebaiknya dilakukan secara rutin, mengingat keamanan sistem informasi bukanlah sebuah hasil akhir yang tidak akan berubah.

"Apa yang kita yakini aman saat ini belum tentu masih akan tetap aman keesokan harinya," pungkas Pratama.

Baca Juga: Usai PDN Diretas, Menkominfo: Instansi Wajib Punya Backup Data