radartasik.com - Untuk kesekian kalinya masyarakat tanah air kembali dihadirkan dengan kabar kebocoran data pribadi.
Perusahaan pemantau kejahatan cyber, Hudson Rock menyebutkan, dalam akun
twitternya bahwa pencurian data dialamai BRI Life.
Dalam screenshot atau
tangkapan layar yang dibagikan, terlihat banyak domain dan subdomain dari BRI
yang datanya diambil.
Dalam keterangannya pada Rabu (28/07/21), pakar keamanan siber Pratama
Persadha menjelaskan, bahwa pada saat dicek di raidforums, ada akun bernama Reckt sempat mengupload sampel data yang dia jual, namun
beberapa saat kemudian dihapus.
Akun tersebut menjual Database Nasabah BRI LIFE INSURANCE (2 juta lebih
nasabah) dan Scan Dokumen (lebih dari 463 ribu).
Pratama menambahkan, databasenya memiliki pin polis asuransi (sha1), detail
lengkap tentang pelanggan yang menggunakan ASURANSI BRI LIFE, total manfaat,
total periode tahun.
Lalu juga ada dokumen bermacam-macam seperti KTP, KK, NPWP, foto buku
rekening bank, akta kelahiran, akta kematian, surat perjanjian, bukti transfer,
bukti keuangan, bukti surat kesehatan seperti EKG, diabetes dan lainnya.
“Ada sebanyak 463.519 file dokumen dengan ukuran mencapai 252 GB dan juga
ada file database berisi 2 juta nasabah BRI Life berukuran 410MB. Untuk sampel
sendiri yang diberikan berukuran 2,5 GB berisi banyak file dokumen. Dua file
lengkap tersebut ditawarkan dengan harga 7.000 dollar US dan dibayarkan dengan
bitcoin,” terang Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) ini.
Dari sampel yang didapat, datanya sangat lengkap. Mulai dari data mutasi
rekening, bukti transfer setoran asuransi, KTP, ada juga tangkapan layar
perbicangan WA nasabah dengan pegawai BRI Life, dokumen pendaftaran asuransi,
KK, beberapa formulir pernyataan diri dan kesanggupan, bahkan lengkap dengan
polis asuransi jiwa juga ada lengkap disertakan.
“Artinya dari klaim Hudson Rock sebagai pihak yang menginformasikan
kebocoran maupun pelaku penjual data, kemungkinan besar benar. Bahwa data yang
mereka klaim tersebut memang berisi berbagai data dari nasabah BRI Life,”
jelasnya.
Ditambahkan olehnya tentu ini menjadi perhatian serius. Bila diperhatikan
dari tangkapan layar yang dibagikan Hudson Rock, data jelas diambil karena
pembobolan situs.
Bisa dilihat bagaimana situs-situs BRI Life disebutkan bahkan
beserta username atau akun login, password dan IP.
“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang
dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language)
sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya
compromised dari akun BRI Life yang juga berpotensi dimanfaatkan hacker untuk
masuk ke dalam sistem,” imbuhnya.
Pratama menjelaskan, dari sini juga bisa disimpulkan bahwa sumber kebocoran
data adalah akibat peretasan, bukan akibat jual beli data dari pihak internal
atau pegawai.
Tentu kita tidak ingin kejadian ini berulang, karena itu UU PDP
(Perlindungan Data Pribadi) sangat diperlukan kehadirannya, asalkan mempunyai
pasal yang benar-benar kuat dan bertujuan mengamankan data masyarakat.
Kategori :