Ungkap Dugaan Pembocoran Data 21.000 Perusahaan Indonesia, Audit Forensik Digital Diperlukan

Suara.com - Pakar keamanan siber Pratama Persadha memandang perlu audit forensik digital guna mengungkap celah keamanan yang digunakan peretas untuk menerobos sehingga ada dugaan terjadi kebocoran data sebesar 347 gigabita berisi dokumen penting dari 21.000 perusahaan di Indonesia.

"Perlu forensik digital untuk mengetahui celah keamanan mana yang peretas pakai untuk menerobos. Apakah dari sisi SQL sehingga diekspos SQL injection atau ada celah keamanan lain?" kata Pratama kepada Antara Kamis malam (18/8/2022).

Pratama yang juga Ketua Lembaga Riset Siber Indonesia CISSReC mengemukakan hal itu ketika merespons postingan darkweb dengan tajuk "347GB Confidential documents of 21.7K Indonesia Companies + Foreign Companies (branch)".

Artinya ada sebanyak 347 gigabita dokumen penting dari 21.000 perusahaan Indonesia dan perusahaan asing yang memiliki cabang di Indonesia.

Situs ini beralamatkan di breached(dot)xx, yaitu situs forum peretas yang mirip dengan RaidForums. Postingan ini pada tanggal 15 Agustus 2022 oleh akun bernama Toshikana yang menggungah sample data secara gratis.

Pengunggah data tersebut, lanjut Pratama, mengklaim data sebesar 347 gigabita ini berisi kartu tanda penduduk (KTP) dan nomor pokok wajib pajak (NPWP) direksi dan komisaris, NPWP perusahaan, dan kartu keluarga (KK) pemegang saham.

Selain itu, beberapa paspor pengurus perusahaan, akta pendirian perusahaan dan akta perubahan perusahaan, surat pengukuhan pengusaha kena pajak, pendaftaran perusahaan, izin usaha, laporan keuangan, laporan rugi laba, catatan transfer, rekening koran, surat pemberitahuan tahunan (SPT), surat keterangan domisili, rekonsiliasi bank, dan banyak lagi.

Dari pengakuan pengunggah, kata Pratama, data ini dijual sebesar 50.000 dolar Amerika Serikat. Untuk meyakinkan pembeli, akun tersebut membagikan dua sample database dengan format zip yang bernama Standard.zip berukuran 296 megabita dan Big.zip berukuran 675 kilobita.

Pada saat data tersebut dibuka, kata dia, memang benar banyak data perusahaan yang bocor, sebagian berisi KTP, NPWP komisaris dan direksi, ada juga perizinan perusahaan, seperti surat izin usaha perdagangan (SIUP), nomor induk berusaha (NIB), SPT, dan akta perusahaan.

Menurut Pratama, sebenarnya siapa pun bisa mengunduh data tersebut. Si pengunggah data tersebut juga tidak memberikan keterangan dari mana data perusahaan Indonesia dan perusahaan asing yang bocor tersebut berasal. Akan tetapi, sampai saat ini belum diketahui dari mana sumber kebocoran data ini.

Ia memandang penting Pemerintah gencar dan terus-menerus menanamkan kesadaran akan pentingnya perlindungan data. Secara teknologi, misalnya, dapat menggunakan enkripsi sehingga data bocor tetap masih terlindungi.

Tidak lupa juga penguatan sistem komputer di pemerintahan maupun swasta, salah satunya bisa dipaksa dengan Undang-Undang Perlindungan Data Pribadi (UU PDP).

"Jadi, ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM, bahkan adopsi regulasi yang pro pengamanan siber," kata Pratama.

"Tanpa UU PDP maka kejadian peretasan seperti situs pemerintah akan berulang kembali," tutup dia.