KPU Tanggapi Kebocoran Data Yang Diretas Hacker Usai Dijual Di BreachForums

JAKARTA - Komisi Pemilihan Umum (KPU) akhirnya buka suara soal kabar kebocoran data dari situsnya yang diretas oleh hacker. Parahnya, data ratusan juta pemilih itu dijual hingga Rp 1 miliar di BreachForums.

Ketua KPU Hasyim Asy'ari mengaku masih menelusuri kebenaran klaim hacker dengan nama anonim Jimbo, soal data milik KPU yang dijajakan di BreachForums, situs yang kerap digunakan sebagai tempat jual-beli data.

Menurutnya data DPT Pemilu 2024 dalam bentuk softcopy tidak hanya ada di data center KPU. Akan tetapi juga tersebar di pihak-pihak lain.

Alasannya, karena UU Pemilu mengamanatkan lembaganya untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu.

"Tim KPU dan Gugus Tugas (BSSN, Cybercrime Polri, BIN dan Kemenkominfo) sedang bekerja menelusuri kebenaran dugaan sebagaimana pemberitaan tersebut," kata Hasyim kepada wartawan, Rabu (29/11).

Sebelumnya, Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengatakan ada 500 ribu data contoh yang dibagikan Jimbo dari 252 juta data lebih yang diklaim hasil dari meretas situs KPU.

"Terdapat beberapa data yang terduplikasi, dimana setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data unik dimana jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari  dengan 514 kab/kota di Indonesia serta 128 negara perwakilan," kata Pratama dalam keterangannya kepada Redaksi.

Di dalam data yang didapatkan Jimbo tersebut memuat data pribadi yang cukup penting seperti NIK, Nomor KK, Nomor KTP (berisi nomor passport untuk pemilih yang berada di luar negeri), nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS. 

Tim CISSReC, kata Pratama sudah mencoba melakukan verifikasi data sample yang diberikan secara random melalui website cekdpt. Hasilnya, data yang dikeluarkan oleh website cekdpt sama dengan data sample yang dibagikan oleh peretas Jimbo, termasuk nomor TPS pemilih terdaftar. 

"Jimbo menawarkan data yang berhasil dia dapatkan seharga $74000 atau hampir setara Rp 1,2 miliar rupiah," lanjutnya.

Lalu apakah benar data tersebut diretas dari situs KPU?

Pratama mengatakan, di forum jual-beli data itu, Jimbo membubuhkan tangkapan layar halaman website KPU yang diduga berasal dari halaman dashboard pengguna.

"Dengan adanya tangkapan layar tersebut maka kemungkinan besar Jimbo berhasil mendapatkan akses login dengan dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering atau melalui malware," terang Pratama.