Hacker Bjorka Klaim Bobol 44 Juta Data MyPertamina, Datanya Asli?

Bjorka kembali dari keheningannya dengan membocorkan data yang diduga merupakan pelanggan MyPertamina. Di situs Breach.to ia menjualnya seharga Rp392 juta dalam bentuk BitCoin. Pakar keamanan siber Pratama Persadha menjelaskan terkait keaslian data 44 juta  pengguna dan data transaksi aplikasi MyPertamina yang dibobol Bjorka tersebut.

“Data yang diunggah yaitu Nama, Email, NIK (Nomor KTP), NPWP (Nomor Pajak), Nomor Telepon, Alamat, DOB, Jenis Kelamin, Penghasilan (Harian, Bulanan, Tahunan), data pembelian BBM dan masih banyak data lainnya. Data yang berjumlah 44 juta ini dijual dengan harga US$ 25.000 atau sekitar 400 juta rupiah menggunakan menggunakan mata uang Bitcoin”, terang chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center tersebut dalam keterangannya kepada inilah.com, Kamis (10/11/2022)

Pratama mengemukakan, data yang diklaim oleh Bjorka berjumlah 44,237,264 baris dengan total ukuran mencapai 30GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 2 file yaitu data transaksi dan data akun pengguna. Ketika sampel datanya dicek secara acak dengan aplikasi ”GetContact”, maka nomor tersebut benar menunjukan nama dari pemilik nomor tersebut. Berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid

“Sampai saat ini sumber datanya masih belum jelas, Namun soal asli atau tidaknya data ini yaa hanya Pertamina sendiri yang bisa menjawabnya, karena aplikasi ini dibuat oleh Pertamina yang juga memiliki dan menyimpan data ini. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana”, jelas pria asal Cepu, Jawa Tengah ini.

Perlu dicek dahulu sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar memang terjadi peretasan dan pencurian data. Namun dengan pengecekan yang menyeluruh dan digital forensic, bila benar-benar tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data ini terjadi karena insider atau data ini bocor oleh orang dalam.

“Bila benar ini data MyPertamina, maka berlaku pada Pasal 46 UU PDP ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3 x 24 jam. Pemberitahuan itu disampaikan kepada subyek data pribadi dan Lembaga Pelaksana Pelindungan Data Pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan dan bagaimana data pribadi terungkap, dan upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi”, terangnya.

Ditambahkan Pratama saat ini yang terpenting adalah segera membentuk lembaga pengawas PDP atau apapun namanya, Komisi PDP misalnya. Ini sudah diamanatkan UU PDP agar presiden membentuk Komisi PDP segera setelah UU berlaku. Komisi PDP ini nanti yang tidak hanya mengawasi namun juga melakukan penegakan aturan serta menciptkan standar keamanan tertentu dalam proses pengolahan pemrosesan data. Dalam kasus kebocoran data seperti MyPertamina ini, bila ada masyarakat yang dirugikan bisa nantinya melakukan gugatan lewat Komisi PDP.

Sekretaris Perusahaan Pertamina Patra Niaga Irto Ginting, saat dikonfirmasi inilah.com, mengatakan tengah melakukan investigasi mendalam terkait peretesant tersebut.

“Pertamina dan Telkom sedang melakukan investigasi bersama untuk memastikan keamanan data dan informasi terkait MyPertamina.” katanya.

Unggahan pembocoran data ini merupakan yang pertama sejak 9 September. Saat itu, Bjorka membocorkan beberapa sampel judul surat untuk Presiden Jokowi, termasuk dari Badan Intelijen Negara (BIN).

Setelah itu, ia lebih banyak berkicau di BreachForums maupun grup Telegram soal pengejaran yang sia-sia terhadap dirinya, penangkapan pemuda lokal yang ternyata bukan Bjorka, doxing sejumlah pejabat, hingga pengakuan bahwa dirinya seorang perempuan dari Polandia.