Pada Mei lalu, masyarakat dihebohkan dengan berita dugaan kebocoran data pribadi
dari layanan Badan Penyelenggara Jaminan Sosial (BPJS) Kesehatan. Data yang menyangkut identitas 279 juta penduduk itu menjadi salah satu kasus kebocoran data terbesar di Indonesia.
Data yang bocor termasuk Nomor Induk Kependudukan (NIK), nama dan alamat lengkap, hingga nomor telepon. Sebagai pengelola, BPJS Kesehatan bahkan kabarnya hendak digugat lewat Pengadilan Tata Usaha Negara (PTUN) karena kasus tersebut.
Kasus ini menyusul rentetan kasus kebocoran data yang sebelumnya sudah sering terjadi. Pada tahun 2020 saja, di Indonesia tercatat ada tujuh kasus kebocoran data pribadi. Kasus kebocoran data ini mulai dari data layanan belanja online seperti Tokopedia, Bhinneka.com, dan Shopback, data Daftar Pemilih Tetap (DPT) Pemilu 2014, hingga layanan finansial Kreditplus dan Cermati.
Data pribadi bisa dimanfaatkan pihak peretas maupun dijual ke forum gelap untuk berbagai modus kejahatan siber.
Apa saja risikonya, dan bagaimana cara mengantispasinya?
Risiko Kebocoran Data Pribadi
Dalam konsep keamanan siber, kita mengenal dua jenis data yang berharga yakni “identitas digital” dan “data pribadi”. Identitas digital merupakan identitas seseorang sebagai pengguna platform digital – dari identitas yang nampak seperti nama akun, foto, maupun deskripsi pengguna, hingga yang tidak nampak termasuk kata sandi (password) dan kode One Time Password (OTP). Sementara, data pribadi adalah serangkaian informasi yang digunakan untuk mengenali seseorang.
Data pribadi umum bisa meliputi nama, tanggal lahir, alamat rumah, e-mail, dan nomor telepon. Data pribadi khusus biasanya berupa data kesehatan, biometrik, informasi keuangan, preferensi seksual, pandangan politik, hingga data kriminalitas.
Kebocoran identitas digital dan data pribadi–atau kombinasi keduanya–bisa digunakan sendiri oleh peretas/penipu maupun dijual di internet secara ilegal dengan harga berkisar dari US$ 0,5 (sektar Rp7 ribu) untuk satu kartu identitas hingga US$ 4.500 (sekitar Rp65 juta) untuk paspor.
Baca juga: Kasus Ravio Patra dan Pentingnya Regulasi Perlindungan Data Pribadi
Apabila jatuh ke tangan yang salah, pemilik data bisa terpapar setidaknya empat risiko kejahatan siber. Pertama, data pribadi bisa dimanfaatkan untuk membobol rekening keuangan. Ini biasanya dilakukan lewat manipulasi secara sosial dengan mengelabui korban. Misalnya, pelaku dapat mengirim e-mail disertai pesan genting atau manipulatif supaya korban membeberkan data pribadi dan informasi layanan bank pada suatu link atau lampiran.
Tempo mencatat setidaknya 6 kasus pembobolan rekening bank dari bulan Januari hingga April 2021 yang menimbulkan kerugian hingga hampir Rp57 miliar.
Modus seperti ini bahkan bisa digunakan untuk membobol dompet digital seperti Go-Pay dan OVO, misalnya saat peretas memiliki nomor pengguna lalu mengirimkan pesan penipuan yang meminta pengguna memberitahukan kode One Time Password (OTP). Kasus pembobolan dompet digital pernah dialami artis Maia Estianti dan Aura Kasih, maupun pengguna Go-Pay lainnya dengan kerugian hingga belasan juta rupiah.
Kedua, penyalahgunaan data pribadi berbentuk penipuan pinjaman online (pinjol) ilegal. Biasanya, peminjaman uang ini dilakukan orang lain yang berpura-pura sebagai pemilik data. Korban bahkan tidak tahu menahu soal pinjaman tersebut, dan berujung sebagai pihak yang diteror untuk pengembalian uang dan bunga.
Korban pencurian data pribadi untuk pinjol tidak hanya mengalami kerugian finansial, tetapi juga ketakutan psikologis. Mereka akhirnya menghabiskan energi karena harus berurusan dengan layanan hukum untuk mendapatkan bantuan.
Ketiga, data pribadi penduduk yang bocor bisa digunakan untuk memetakan profil pemilik data–misalnya untuk keperluan politik atau iklan di media sosial. Data Daftar Pemilih Tetap (DPT) Pemilu 2014, misalnya, pernah dibobol peretas dan ini berisiko digunakan dengan tujuan tidak baik.
Kebocoran data seperti ini bisa digunakan untuk memetakan preferensi politik pengguna yang kemudian bisa dimanfaatkan sebagai target disinformasi. Kita pernah melihat ini pada tahun 2018 saat perusahaan data Cambridge Analytica terbukti menyalahgunakan data pribadi hingga 87 juta pengguna Facebook untuk keperluan politik–di antaranya untuk mendukung kampanye Donald Trump saat pemilu AS tahun 2016.
Keempat, peretasan data akun media sosial juga bisa digunakan untuk berbagai modus pemerasan secara online. Salah satu bentuk kejahatan itu adalah pemerasan seksual atau biasanya disebut “sextortion”.
Misalnya, pelaku bisa mengajak kita untuk melakukan percakapan seksual atau menawarkan layanan video call sex (VCS). Aktivitas tersebut kemudian bisa direkam dan digunakan untuk memeras korban.
Bahkan, gambar atau video pribadi yang diunggah di media sosial, perangkat digital, maupun layanan penyimpanan lainnya juga bisa diretas dan digunakan untuk pemerasan seksual. Dalam kasus ini, sering kali peretas membobol akun media sosial pengguna yang memakai sandi keamanan yang mudah ditebak seperti nama, tanggal tahir, tempat lahir, dan sebagainya.
Cara-cara Mengantisipasi Kebocoran Data
Secara hukum, beberapa akademisi berpendapat bahwa perlindungan data pribadi adalah bagian dari hak asasi manusia. Regulasi terkait seperti melalui Rancangan Undang-Undang Perlindungan Data Pribadi yang saat ini terhambat di Dewan Perwakilan Rakyat (DPR), sangat penting untuk segera direalisasikan di Indonesia.
Sembari menanti hal tersebut, ada beberapa hal yang bisa kita lakukan untuk membantu mencegah kebocoran atau peretasan data pribadi kita. Salah satu cara terbaik adalah menggunakan sandi keamanan yang kuat di berbagai akun media sosial atau layanan digital lainnya, dengan menggabungkan huruf, angka dan simbol lainnya sehingga tidak mudah ditebak.
Sandi keamanan pun harus diperbarui secara berkala, dan dibuat berbeda untuk setiap aplikasi atau platform. Selain itu, kode sementara termasuk One Time Password (OTP) harus selalu dirahasiakan dari orang lain.
Baca juga: Kasus Kebocoran Data Warga dan Timpangnya Akses ke Layanan Publik
Penggunaan aplikasi password manager yang aman seperti 1Password atau LastPass juga bisa menjadi opsi. Kita tinggal menghafalkan satu kata sandi utama dan aplikasi akan mengelola kata sandi yang sangat rumit dan susah ditebak untuk berbagai akun yang kita miliki.
Kemudian, kita harus disiplin menjaga data diri baik milik kita sendiri, keluarga, maupun orang lain dengan tidak mengumbarnya di media sosial.
Pastikan kita hanya memberi data diri pada pihak yang menjamin pengelolaan data pribadi kita dengan baik dan bertanggung jawab.
Terakhir, kita bisa ambil langkah keamanan yang lebih jauh lagi dengan mengaktifkan fitur seperti Two Factor Authentication (2FA)–di mana setelah memasukkan kata sandi, kita memerlukan kode tambahan yang dibuat secara acak dan hanya berlaku sekitar 30 detik. Kini, telah banyak panduan di internet bagaimana menggunakan fitur 2FA ini melalui aplikasi seperti Authy atau Google Authenticator.
Dengan melakukan perlindungan data diri secara disiplin, kita bisa aman dalam bermedia digital dan risiko kebocoran data pribadi pun bisa kita minimalisasi.
Artikel ini pertama kali diterbitkan oleh The Conversation, sumber berita dan analisis yang independen dari akademisi dan komunitas peneliti yang disalurkan langsung pada masyarakat.
Comments