ARAHKATA - Bjorka, nama yang mengeklaim sebagai peretas atau hacker, akhirnya kembali hadir untuk memenuhi janjinya setelah menghilang beberapa waktu.

Kali ini, masyarakat di Tanah Air disuguhkan oleh aksi Bjorka yang mengeklaim telah membobol 44 juta data pengguna MyPertamina, aplikasi milik Pertamina.

Sebelumnya, Bjorka telah beraksi dengan klaim membocorkan data pengguna PLN, Indihome, data registrasi SIM card. Selain itu, Bjorka juga mengaku membocorkan data 105 juta pemilih di KPU, hingga data rahasia dan surat untuk Presiden Jokowi.

Baca Juga: Gara-gara Dipukul Tamu Ratusan Driver Ojol Gerebek Hotel di Jakbar

Dalam keterangannya, Kamis, 10 November 2022, pakar keamanan siber, Pratama Persadha menjelaskan kebocoran data MyPertamina tersebut diunggah pukul 10.31 WIB oleh anggota forum situs breached.to dengan nama identitas Bjorka yang memang sudah berjanji sebelumnya untuk membocorkannya ke publik. Bjorka data membocorkan 44 juta pengguna dan data transaksi dari aplikasi MyPertamina dengan memberikan sampel data.

"Data yang diunggah, yaitu nama, e-mail, NIK (nomor KTP), NPWP, nomor telepon, alamat, DOB, jenis kelamin, penghasilan (harian, bulanan, dan tahunan), data pembelian BBM, dan masih banyak data lainnya,” ujar Chairman lembaga riset siber Communication & Information System Security Research Center (CISSReC) tersebut, dikutip ArahKata.com

Bjorka membocorkan data yang berjumlah 44 juta dari MyPertamina dan dijual dengan harga US$ 25.000 atau sekitar Rp 400 juta dengan menggunakan menggunakan mata uang Bitcoin.

Baca Juga: KPK Dorong Prodem Laporkan Isu Suap Tambang Ilegal Libatkan Aparat

Pratama menjelaskan, data yang diklaim oleh Bjorka berjumlah 44.237.264 baris dengan total ukuran mencapai 30 GB bila dalam keadaan tidak dikompres. Data sampelnya dibagi menjadi 2 fail, yaitu data transaksi dan data akun pengguna.

Ketika sampel data dicek secara acak dengan aplikasi GetContact, nomor tersebut benar menunjukkan nama dari pemilik nomor tersebut. Selain itu, ketika dicek NIK lewat aplikasi Dataku juga cocok. Itu berarti sampel data yang diberikan oleh Bjorka merupakan data yang valid.

"Sampai saat ini, sumber datanya masih belum jelas. Namun, soal asli atau tidaknya data ini ya hanya Pertamina yang bisa menjawabnya sebagai pembuat aplikasi MyPertamina dan menyimpan data ini. Jalan terbaik harus dilakukan audit dan investigasi digital forensic untuk memastikan kebocoran data ini dari mana,” jelas pria asal Cepu, Jawa Tengah tersebut.

Baca Juga: Deklarasi GJL Se-Jabodetabek, Momentum Hari Pahlawan Tanamkan Kader GJL Sebagai Obor Penerang

Menurut Pratama, digital forensic dilakukan dengan melakukan cek dahulu sistem informasi dari aplikasi MyPertamina yang datanya dibocorkan oleh Bjorka. Apabila ditemukan lubang keamanan, berarti kemungkinan besar telah terjadi peretasan dan pencurian data.

Namun, jika dengan pengecekan yang menyeluruh dan digital forensic dan tidak ditemukan celah keamanan dan jejak digital peretasan, ada kemungkinan kebocoran data terjadi karena insider atau data dibocorkan oleh orang dalam.

“Bila benar ini data MyPertamina, maka berlaku pada Pasal 46 UU Pelindungan Data Pribadi (PDP), ayat 1 dan 2, yang isinya bahwa dalam hal terjadi kegagalan perlindungan data pribadi maka pengendali data pribadi wajib menyampaikan pemberitahuan secara tertulis, paling lambat 3x24 jam,” tambahnya.

Baca Juga: Dewan Pers-Polri Tanda Tangani Kerja Sama Perlindungan Kemerdekaan Pers

Pemberitahuan itu perlu disampaikan kepada subjek data pribadi dan lembaga pelaksana pelindungan data pribadi (LPPDP). Pemberitahuan minimal harus memuat data pribadi yang terungkap, kapan, dan bagaimana data pribadi terungkap, serta upaya penanganan dan pemulihan atas terungkapnya oleh pengendali data pribadi.

Sementara itu, tindakan Bjorka kali ini dinilai Pratama telah melanggar pasal 67 UU PDP dan terancam pidana dan denda perdata.

Pertama, setiap orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan data pribadi yang bukan miliknya untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian pemilik data dipidana dengan pidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp 5 miliar.

Baca Juga: Jelang KTT G-20, Ratusan Personel Gabungan Siaga di Labuan Bajo

Kedua, setiap orang yang dengan sengaja dan melawan hukum mengungkapkan data pribadi yang bukan miliknya dipidana penjara paling lama 4 tahun dan/atau denda paling banyak Rp 4 miliar.

Ketiga, setiap orang yang dengan sengaja dan melawan hukum menggunakan data pribadi yang bukan miliknya dipidana penjara paling lama 5 tahun dan/atau denda paling banyak Rp 5 miliar.***