Yokalbar - Sebanyak 204 juta data Daftar Pemilih Tetap (DPT) pada situs Komisi Pemilihan Umum (KPU) diduga bocor karena aksi seorang peretas yang dikenal sebagai Jimbo menggunakan metode phising.
Jimbo berhasil menjual sekitar 204 juta data tersebut di dark web dengan harga 2 Bitcoin atau sekitar US$74.000 atau hampir Rp1,2 miliar.
Kejadian peretasan ini diyakini terjadi karena jumlah data yang berhasil diambil hampir identik dengan jumlah pemilih dalam DPT Tetap KPU, yakni 204.807.222 individu.
Baca Juga: Tips Cek NIK Sudah Terhubung Ke NPWP Atau Belum, Punya Kamu Termasuk?
Pratama Persadha, Ketua Lembaga Riset Keamanan Siber CISSReC, mengungkapkan bahwa dari 252 juta data yang berhasil diperoleh oleh Jimbo, setelah dilakukan penyaringan, teridentifikasi sebanyak 204.807.203 data unik, jumlah yang hampir mirip dengan jumlah pemilih dalam DPT Tetap KPU dari 514 kabupaten/kota di Indonesia dan 128 negara perwakilan.
Data yang diunggah di Breach Forum menyertakan informasi seperti Nomor Induk Kependudukan (NIK), Nomor Kartu Keluarga (No. KK), Nomor KTP dan Passport, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, dan kodefikasi TPS.
Jimbo sebelumnya juga membagikan sekitar 500.000 data contoh yang berhasil diperolehnya dan menampilkan tangkapan layar dari website cekdptonline.kpu.go.id untuk memverifikasi keaslian data yang dimilikinya.
CISSReC menemukan indikasi bahwa Jimbo kemungkinan besar berhasil masuk ke dalam situs KPU dengan menggunakan peran sebagai Admin KPU dari domain sidalih.kpu.go.id. Pratama Persadha menyatakan bahwa jika Jimbo berhasil mendapatkan akses sebagai Admin, hal ini berpotensi membahayakan jalannya proses pemilu dengan kemungkinan adanya manipulasi hasil rekapitulasi suara, yang dapat merusak demokrasi bahkan menciptakan kerusuhan nasional.
Baca Juga: Anggaran Pemilu Dianggarkan Rp18 triliun, KPU-Bawaslu mengantongi Rp16 triliun
Direktur Jenderal Informasi dan Komunikasi Publik (IKP) Kemenkominfo, Usman Kansong, mengungkapkan bahwa Kemenkominfo telah meminta klarifikasi dari KPU terkait peretasan ini.
Berdasarkan Undang-Undang No.27/2022 tentang Perlindungan Data Pribadi (UU PDP) pasal 46, KPU diwajibkan memberikan informasi kronologis peretasan, jumlah data yang terpengaruh, dan langkah pemulihan yang akan diambil dalam waktu maksimal 3 × 24 jam setelah menerima surat permintaan klarifikasi dari Kemenkominfo.