Jika Data Pemilih Bisa Diretas, Bagaimana dengan Hasil Pemilu Nanti?

JAKARTA, READERS – Kebocoran data Daftar Pemilih Tetap (DPT) di situs KPU baru-baru ini dipertanyakan sejumlah pihak, karena berpotensi pada hasil akhir Pemilu 2024 nanti.

Anggota Komisi II DPR RI Guspardi Gaus mengatakan Komisi Pemilihan Umum (KPU) harus melakukan penyelidikan dengan seksama terkait dugaan kebocoran info Daftar Pemilih Tetap (DPT) agar tidak mengganggu penyelenggaraan Pemilu 2024.

"KPU mesti menyelidiki dengan seksama, dan mengumumkan hasil penyelidikannya kepada publik secara terbuka dan transparan," kata Guspardi dalam keterangannya di Jakarta, Jumat (01/12/2023).

Menurut dia, dugaan kasus kebocoran info di situs KPU (kpu.go.id) harus menjadi perhatian serius bagi lembaga penyelenggara pemilu itu untuk segera berbenah diri, serta memaksimalkan keahlian dan teknologi yang dipakai.

"Jangan sampai kejadian peretasan justru menimbulkan perdebatan di masyarakat dan membikin kredibilitas KPU menjadi tercoreng," ujarnya.

Guspardi pun merasa heran sekaligus prihatin mendengar berita dugaan kebocoran info pribadi yang sifatnya rahasia dan berbobot bisa bocor di dunia maya. Untuk itu, dia mengaku cemas andaikan dugaan kebocoran info tersebut betul adanya.

"Kalau IT KPU bisa dijebol untuk mencuri DPT, maka hasil pemilu nantinya dikhawatirkan rentan dimanipulasi," uajarnya.

Guspardi mengaskan KPU mesti memastikan keamanan info pemilih bisa terjaga dengan baik sehingga tak bisa diretas oleh siapa pun.

Guspardi juga meminta agar KPU mempunyai sistem pencegahan mengenai perlindungan info pemilih, termasuk metode yang digunakan dalam memproteksi kerahasiaan data.

Sementara itu, Wakil Ketua Komisi I DPR RI Abdul Kharis Almasyhari meminta KPU bertanggung jawab terkait dugaan kebocoran data Daftar Pemilih Tetap (DPT) Pemilu 2024. Hal tersebut berdasarkan pada Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP).

"Jadi di Undang-Undang PDP (Perlindungan Data Pribadi) itu amanatnya kita enggak mau tahu itu dicolong oleh siapa, itu bagian berikutnya, tapi bahwa sampai kecolongan, ini harus tanggung jawab KPU," kata Kharis saat memimpin jalannya Rapat Kerja Komisi I DPR RI dengan Kementerian Komunikasi dan Informatika (Kemenkominfo) di Gedung Nusantara II, DPR RI, RI, Senayan, Jakarta, Rabu (29/11/2023).

Untuk itu, dia menyebut proses identifikasi pelaku peretas data Pemilu 2024 yang tengah dilakukan oleh aparat penegak hukum, tidak berarti menghilangkan tanggung jawab KPU itu sendiri dalam menjamin keamanan data pemilih.

Menemukan ‘Jimbo’

Sebelumnya pada Selasa (28/11/2023), KPU mengatakan telah menerima info mengenai dugaan pembobolan data yang dilakukan peretas berjulukan "Jimbo", yang menyatakan sukses meretas situs KPU dan mengakses info pemilih dari situs tersebut.

Informasi peretasan situs KPU ini diketahui setelah Jimbo mengunggah sebuah postingan di situs BreachForums, tempat yang biasa digunakan untuk menjual hasil peretasan. 

Hacker Jimbo membagikan 500 ribu data sampel yang berhasil didapatkannya dari situs KPU. Dia juga menyertakan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ guna memverifikasi kebenaran data yang didapatkan.

Dalam unggahan itu, dia memamerkan telah memiliki 252 juta data yang beberapa isinya data duplikasi. Jimbo kemudian menyaringnya sehingga mendapatkan sekitar 204.807.203 data unik.

Data yang diretas Jimbo antara lain Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (KK), dan Nomor KTP—berisi nomor paspor untuk pemilih yang berada di luar negeri.

Ada juga data pribadi lainnya, berupa nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan, dan kabupaten serta kodefikasi TPS. 

Ini bukan pertama kalinya data publik diretas di Indonesia. Pada 2020, data 2,3 juta warga dan pemilih Indonesia diduga pernah dibocorkan. Peretas menggunakan akun anonim sebagai "Underthebreach" melalui forum peretas.

Dua tahun kemudian, atau 2022, giliran akun "Bjorka" yang mengklaim menguasai 105 juta data penduduk Indonesia hasil peretasan di situs KPU. Ia menjual data ini sekitar Rp77 juta di BreachForums.

Menurut peneliti dariLembaga Studi dan Advokasi Masyarakat (ELSAM) ELSAM, Annisa N. Hayati, berulangnya kasus dugaan kebocoran data KPU karena "tidak ada proses investigasi yang tuntas".

"Sekarang biasanya, setiap ada insiden kebocoran jawabannya selalu penyangkalan," jelas Annisa.

Cederai Pesta Demokrasi

Pakar keamanan siber dari Communication and Information System Security Research Center (CISSReC), Pratama Persadha, menganalisis kebocoran dari situs KPU.

Pratama menjelaskan kemungkinan besar hacker dengan anonim Jimbo itu berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id. 

Pratama menduga hacker menggunakan metode phising, social engineering atau melalui malware. 

“Di mana dengan memiliki akses dari salah satu pengguna itu Jimbo mengunduh data pemilih serta beberapa data lainnya,” ujarnya lewat keterangan tertulis pada Rabu (29/11/ 2023).

Menurut Pratama, jika Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin, hal ini akan sangat berbahaya. 

Pasalnya, akun role admin itu bisa saja digunakan untuk mengubah hasil rekapitulasi perhitungan suara saat Pemilu berlangsung.

“Yang tentunya akan mencederai pesta demokrasi bahkan bisa menimbulkan kericuhan pada skala nasional,” sebutnya. 

Pratama juga mengatakan perlu adanya audit forensik dari sistem keamanan serta server KPU. Tujuannya untuk memastikan titik serangan yang dimanfaatkan peretas untuk mendapatkan data yang diklaim berasal dari situs KPU itu.

Pada hari yang sama, KPU RI mengumumkan telah menggandeng tim dari Direktorat Tindak Pidana Siber (Dittipidsiber) Bareskrim Polri hingga Badan Intelijen Negara (BIN) untuk mendalami laporan mengenai dugaan kebocoran info Pemilu 2124 di situs kpu.go.id.

"Kami tetap memastikan apakah info itu betul alias tidak. Kami bekerja sama dengan tim yang selama ini sudah ada, ialah tim dari KPU, tim Badan Siber dan Sandi Negara (BSSN), kemudian dari tim cyber crime Mabes Polri, dan juga BIN dan Kemenkominfo," kata Ketua KPU RI Hasyim Asy'ari di Istana Kepresidenan, Jakarta, Rabu (29/11/ 2023).

KPU dalam siaran persnya menyatakan, pihkanya mengetahui informasi adanya pihak yang menjual data diduga milik KPU itu sejak hari Senin, 27 November 2023 sekitar pukul 15.00 WIB. 

Setelah mendapatkan informasi tersebut, KPU langsung menginformasikan kepada BSSN, Bareskrim dan instansi terkait lainnya.

Berdasarkan hasil pengecekan bersama, saat ini beberapa analisis sedang dijalankan seperti analisis log akses, analisis manajemen pengguna, dan analisis log lainnya yang diambil dari aplikasi maupun server yang digunakan untuk mengidentifikasi pelaku, jika benar melakukan peretasan terhadap Sistem Informasi Data Pemilih.[HSP]