Baca berita dengan sedikit iklan, klik di sini

Arsip

Terperosok Berulang di Lubang Serupa

Kebocoran data pemilih yang berulang menunjukkan lemahnya pelindungan data pribadi. KPU harus bertanggung jawab.

30 November 2023 | 00.00 WIB

Image of Tempo
Perbesar

Baca berita dengan sedikit iklan, klik di sini

Poin penting

  • Kebocoran data pribadi yang berulang menunjukkan pelindungan data pribadi masih rendah.

  • Pemerintah didesak segera membentuk lembaga penyelenggara pelindungan data pribadi.

  • KPU wajib bertanggung jawab atas kebocoran data pemilih.

JAKARTA – Ruby Zukri Alamsyah mencatat kebocoran data pemilih yang diduga milik Komisi Pemilihan Umum (KPU) sesungguhnya sudah dua kali terjadi. Pakar informasi dan teknologi serta ahli digital forensik itu masih mengingat kebocoran data daftar pemilih tetap (DPT) pada tiga tahun lalu.

Baca berita dengan sedikit iklan, klik di sini

Kebocoran data pemilih itu terjadi tak lama setelah KPU mengumumkan DPT pada pemilihan kepala daerah serentak 2020. Kejadian serupa terjadi lagi tak lama setelah KPU mengumumkan DPT pada Pemilu 2024.

Baca berita dengan sedikit iklan, klik di sini

“Kondisi ini bisa disebut bahwa pelindungan data pribadi warga negara ini masih sangat lemah di Indonesia. Ini tidak hanya untuk KPU, tapi juga instansi lain,” kata Ruby, Rabu, 29 November 2023.

Namun Ruby heran menyaksikan kebocoran data pemilih KPU justru berulang kali terjadi. Padahal lembaga penyelenggara pemilu itu sudah meminta tambahan anggaran untuk mengamankan data DPT.

Keheranan Ruby bertambah setelah ia menganalisis kebocoran data pemilih kali ini. Hasil analisis Ruby menyatakan peretas tersebut tidak terlalu canggih dalam mencuri data pemilih. Meski menggunakan cara yang tak canggih, peretas tetap bisa mencuri data pemilih.

“Sehingga kami menduga memang ada kebocoran sistem sebelumnya atau terdapat kesalahan pada sumber daya manusianya,” ujar Ruby.

Pakar keamanan siber Alfons Tanujaya menguatkan pendapat Ruby. Alfons mengatakan kebocoran data pemilih ini menunjukkan bahwa KPU tak belajar dari pengalaman terdahulu. Dengan demikian, penyelenggara pemilu itu terperosok di lubang yang sama berkali-kali.

Ia mengatakan KPU memang memiliki tanggung jawab besar karena harus menjaga database DPT yang sangat besar. Tapi KPU memakai database standar, yaitu structured query language (SQL), untuk mengamankan data jumbo tersebut. SQL adalah bahasa pemrograman yang digunakan untuk mengakses data dalam basis data relasional.

“SQL memang diketahui andal, tapi sudah jadi rahasia umum (SQL) itu banyak kelemahan dan celahnya,” kata Alfons, kemarin.

Akun anonim Jimbo mengklaim sudah meretas data pemilih dalam Pemilu 2024 milik KPU sejak Senin lalu. Peretas lantas menjual sebanyak 252 juta data pemilih di Breach Forum—situs web jual-beli data—dengan harga US$ 74 ribu atau setara dengan Rp 1,1 miliar. Peretas juga membuka 500 ribu data pemilih sebagai contoh di Breach Forum.

Data pemilih itu terdiri atas nama lengkap, nomor induk kependudukan (NIK), nomor kartu keluarga (NKK), nomor kartu tanda penduduk (paspor), tempat pemungutan suara (TPS) pemilih, status difabel, jenis kelamin, tempat dan tanggal lahir pemilih, status perkawinan, serta alamat pemilih.

Suasana rapat terbuka rekapitulasi daftar pemilih tetap Pemilu 2024 di gedung KPU, Jakarta, 2 Juli 2023. TEMPO/M. Taufan Rengganis

Kasus serupa terjadi tiga tahun lalu. Ketika itu, akun Twitter @underthebreach mengklaim sudah meretas data pemilih pada Pemilu 2014 milik KPU. Data itu dalam bentuk portable document format (PDF), yang di dalamnya berisi 2,3 juta data pemilih. Data pemilih tersebut terdiri atas nama lengkap, NKK, NIK, tempat dan tanggal lahir, alamat rumah, serta informasi pribadi lainnya.

Komisioner KPU saat itu, Viryan Aziz, mengatakan data DPT yang bocor di media sosial tersebut bukan hasil peretasan situs web KPU. Ia menduga data pemilih yang bocor berasal dari pihak ketiga. Alasannya, pemegang data pemilih bukan hanya KPU, tapi juga Badan Pengawas Pemilu, partai politik peserta pemilu, dan pemerintah.

"Meskipun itu data lama dan bukan dari KPU, dari formatnya dimungkinkan data yang diterima oleh pihak eksternal," kata Viryan pada 22 Mei 2020.

Alasan serupa disampaikan Ketua KPU periode 2022-2027, Hasyim Asy'ari, mengenai kebocoran data pemilih kali ini. “Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan Badan Pengawas Pemilu,” kata Hasyim lewat keterangan tertulis, Rabu kemarin.

Ketua Badan Pengawas Pemilu Rahmat Bagja dan anggota Bawaslu, Puadi serta Lolly Suhenty, belum merespons permintaan konfirmasi Tempo mengenai pengawasan mereka atas kebocoran data pemilih tersebut. Adapun Lembaga Studi dan Advokasi Masyarakat (Elsam) menduga data pemilih yang diperdagangkan di Breach Forum itu milik KPU. Direktur Elsam Wahyudi Ja’far mengatakan hasil analisis lembaganya terhadap sampel data pemilih di Breach Forum itu identik dengan DPT milik KPU. 

“Dugaannya Sidalih KPU (aplikasi milik KPU yang berisi data DPT) yang bocor,” kata Wahyudi. 

Juru bicara Partai Keadilan Sejahtera, Ahmad Mabruri, meminta KPU tidak melempar kesalahan kebocoran data pemilih tersebut ke partai politik. “Ya, tanggung jawab tetap di KPU,” kata Ahmad. 

Komisioner KPU periode 2012-2017, Hadar Nafis Gumay, berharap KPU jujur dan bisa memastikan pemilik data pemilih yang diperdagangkan di situs web jual-beli online tersebut. Sebab, “Pada dasarnya partai politik dan pengawas pemilu juga diberi data pemilih oleh KPU,” kata Hadar.

Simulasi pemungutan suara di kantor KPU, Jakarta, 22 Maret 2022. Dok TEMPO/Muhammad Hidayat

Terkatung-katung Pembentukan Lembaga PDP

Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet) Damar Juniarto menyayangkan kebocoran data pemilih yang berulang ini. Ia mengatakan kebocoran terbaru data pemilih ini akan menunjukkan semakin lemahnya keamanan siber di Indonesia.

Damar mengutip catatan Laporan National Cyber Security Index (NCSI) bahwa skor indeks keamanan siber Indonesia sebesar 38,96 poin pada rentang penilaian 0-100 poin pada 2022. Angka tersebut menempatkan Indonesia di peringkat ke-3 terendah di bidang keamanan siber di antara negara-negara anggota G20. 

“Artinya, kemampuan Indonesia dalam melindungi data pribadi memang masih jauh dari baik,” kata Damar, kemarin.

Ia melanjutkan, Pasal 35 dan 36 Undang-Undang Pelindungan Data Pribadi (UU PDP) sesungguhnya sudah mengatur cara pengamanan data dan kewajiban merahasiakan data pribadi. “Kalau kedua pasal ini dipatuhi, kemampuan lembaga negara untuk melindungi data pribadi dapat meningkat,” katanya. 

Damar mendesak pemerintah segera membentuk lembaga pelindung data pribadi karena organisasi ini yang akan menjadi penyelenggara pelindungan data. Sesuai dengan Pasal 58 UU PDP, presiden wajib menetapkan lembaga penyelenggara pelindungan data pribadi. Pembentukan otoritas ini paling lambat dua tahun sejak aturan itu diundangkan pada 17 Oktober 2024.

EKA YUDHA SAPUTRA | ANDI ADAM FATURAHMAN | AHMAD FAIZ IBNU SANI | ANT
Image of Tempo
Image of Tempo
Berlangganan Tempo+ untuk membaca cerita lengkapnyaSudah Berlangganan? Masuk di sini
  • Akses edisi mingguan dari Tahun 1971
  • Akses penuh seluruh artikel Tempo+
  • Baca dengan lebih sedikit gangguan iklan
  • Fitur baca cepat di edisi Mingguan
  • Anda Mendukung Independensi Jurnalisme Tempo
Lihat Benefit Lainnya
Eka Yudha Saputra

Eka Yudha Saputra

Alumnus Fakultas Ilmu Pengetahuan Budaya Universitas Indonesia. Bergabung dengan Tempo sejak 2018. Anggota Aliansi Jurnalis Independen ini meliput isu hukum, politik nasional, dan internasional

Image of Tempo

Baca berita dengan sedikit iklan, klik di sini

Image of Tempo
Logo Tempo
Unduh aplikasi Tempo
download tempo from appstoredownload tempo from playstore
Ikuti Media Sosial Kami
© 2024 Tempo - Hak Cipta Dilindungi Hukum
Beranda Harian Mingguan Tempo Plus