Seorang hacker bernama Jimbo mengaku berhasil meretas situs kpu.go.id dan mendapatkan data daftar pemilih tetap (DPT). Untuk memastikan bahwa data yang dicurinya benar, penjahat siber itu membagikan beberapa tangkapan layar dari https://cekdptonline.kpu.go.id/ dan 500 ribu data sampel dalam salah satu postingannya di BreachForums. Jimbo juga mengatakan bahwa beberapa data dari 252 juta data penduduk Indonesia terduplikasi.

Setelah penyaringan Jimbo, Pakar Keamanan Siber Pratama Persadha menyatakan bahwa ada 204.807.203 data unik yang hampir sama dengan jumlah pemilih dalam DPT Tetap KPU, yang berjumlah 204.807.222 pemilih dari 514 kab/kota di Indonesia dan 128 negara perwakilan.

Chairman Lembaga Riset Keamanan Siber CISSReC menyatakan, "Di dalam data yang didapatkan oleh Jimbo tersebut memiliki beberapa data pribadi yang cukup penting," dikutip Rabu (29/22/2023).

Salah satunya adalah nomor identifikasi pribadi (NIK), nomor KTP, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kode kelurahan, kecamatan, dan kabupaten, serta kode TPS. nomor untuk pemilih yang berada di luar negeri. Tim CISSReC telah menggunakan website Cekdpt untuk memverifikasi data sampel yang dikirim secara acak. Data yang dikeluarkan oleh website Cekdpt memiliki kemiripan dengan data sampel yang dibagikan oleh peretas Jimbo, termasuk nomor TPS di mana pemilih terdaftar.

Pada Selasa, 28 November 2023, Teguh Aprianto, konsultan keamanan siber, adalah orang pertama yang mengungkapkan informasi kebocoran data pribadi ini. Dia membagikan tangkapan layar unggahan hacker Jimbo dengan judul "KPU.GO.ID 2024 Voters RAW DATABASE" di platform media sosial X @secgron.

Menurut postingan yang diungkapkan oleh @secgron pada Rabu (29/11/2023), hacker tersebut mengklaim telah memperoleh sekitar 252 juta data melalui postingannya di Breachforums, sebuah situs yang dikenal sebagai situs jual beli data curian. Meskipun demikian, proses penyaringan hanya meninggalkan 204.807.203 data pribadi unik setelah beberapa duplikat data ditemukan. Jimbo menjelaskan bahwa dia mendapatkan informasi lengkap dari semua data tersebut, termasuk NIK, NKK, nama, tps_id, difabel, ektp, jenis kelamin, tanggal lahir, tempat lahir, pernikahan, alamat, rt, rw, dan banyak lagi.

Pelaku peretasan membayar sekitar USD 74000, atau sekitar Rp 1,2 miliar, untuk seluruh data pribadi penduduk Indonesia yang bocor. Pratama Persadha, seorang spesialis keamanan siber, juga mengkonfirmasi informasi tentang kebocoran data penduduk Indonesia ini. Pratama menyatakan bahwa jumlah data yang bocor hampir sama dengan jumlah pemilih dalam DPT Tetap KPU. Dia menduga bahwa pencuri telah mendapatkan akses ke role admin KPU dari domain sidalih.kpu.go.id.

Dia menjelaskan bahwa pelaku mungkin dapat mengakses login doman sidalih.kpu.go.id melalui metode phising, social engineering, atau malware. Menurutnya, jika Jimbo peretas berhasil mendapatkan posisi admin, hal itu akan sangat berbahaya untuk pemilihan pesta demokrasi 2024. "Bisa saja akun dengan posisi admin tersebut dipergunakan untuk mengubah hasil rekapitulasi penghitungan suara, yang tentunya akan mencederai pesta demokrasi, atau bisa menimbulkan kericuhan pada skala nasional ketika Pemilu nanti."

Betty Epsilon Idroos, anggota Komisi Pemilihan Umum (KPU), menyatakan bahwa dia telah mendengar tentang kemungkinan pembobolan data pemilih dalam Pemilu 2024. Betty mengatakan bahwa untuk mengantisipasi masalah ini, KPU langsung berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN).

Di Kantor KPU, Menteng, Jakarta Pusat, Selasa (28/11/2023) malam, Betty menyatakan, "Sekarang lagi kita minta bantuan dari Satgas Cyber. Sekarang BSSN yang bekerja."

Dia menyatakan bahwa KPU bekerja sama dengan BSSN untuk memastikan bahwa data pemilih yang ada di database KPU tidak dibobol oleh peretas. Meskipun demikian, dia enggan memberikan komentar yang luas tentang masalah ini.

Dia menyatakan, "Kan dicek dulu. Dicek dulu, seperti apa datanya, bagaimana bentuknya lagi dicek. Lagi ditelusuri."

Sebelum ini, situs kpu.go.id menjadi sasaran hacker atau peretas yang dikenal sebagai "Jimbo". Jimbo mengaku berhasil meretas situs KPU dan mendapatkan 252 juta data pemilih. Data yang dikumpulkan oleh hacker Jimbo termasuk NIK, nomor KK, nomor KTP, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kode kelurahan, kecamatan, kabupaten, dan kode TPS.

Picture Source: Herald.id