Ngeri! Inilah yang Tak Diungkap dari Bocornya Data 1,2 Juta Pelanggan Bhinneka
Cyberthreat.id - Sudah lebih tiga bulan sejak kebocoran data pelanggan Bhinneka.com terungkap ke publik. Namun, hingga kini, manajemen Bhinneka.com mau pun instansi pemerintahan terkait belum mengungkapkan bagaimana perkembangannya. Tidak ada pula penjelasan data apa saja yang bocor.
Sehari setelah pemberitaan media menyebut data 1,2 juta pelanggan Bhinneka.com yang bocor dijual di forum peretasan online, pada 10 Mei 2020, Head Brand Communication Bhinneka.com, Astrid Warsito, hanya menyebut sedang menginvestigasi kasusnya.
Bhinneka mengatakan password pengguna telah dilindungi dengan enkripsi. Dipastikan juga tidak ada data kartu pembayaran yang disimpan di server mereka. Namun, Astrid tidak menjelaskan data apa saja yang mungkin telah dicuri oleh peretas.
Padahal, data pribadi seperti nama, email, nomor telepon dan alamat pengguna rentan disalahgunakan untuk tujuan peretasan akun online pengguna di platform lain. (Baca: Data 1,2 Juta Konsumennya Dijual di Dark Web, Begini Respon Bhinneka.com)
Saya menemukan hal mengejutkan ketika menggunakan platform SpyCloud untuk melacak di platform mana saja data saya kemungkinan telah bocor.
Ternyata, data saya termasuk yang bocor di platform Bhinneka.com. SpyCloud memaparkan data apa saja yang bocor, yang pernah saya input ketika mendaftar sebagai pelanggan di situs Bhinneka.com.
Menurut catatan SpyCloud, ada 2.437.061 data yang bocor. Sebanyak 1.745.364 diantaranya termasuk nomor telepon.
Data yang disajikan SpyCloud itu membenarkan klaim Astrid bahwa password pengguna memang dilindungi dengan enkripsi. Sehingga, dalam data yang disajikan SpyCloud, pasword akun saya yang bocor di Bhinneka.com disajikan dalam bentuk kumpulan huruf dan angka, bukan password yang biasa saya gunakan.
Masalahnya, password bukan satu-satunya ancaman. Yang mengagetkan, data yang bocor itu ternyata bukan hanya alamat email dan nama lengkap, tetapi juga nomor telepon yang saya gunakan, kapan terakhir login, tanggal lahir, hingga detail alamat rumah yang pernah saya daftar di sana (seperti tercantum dalam tangkapan layar di bawah ini).
Melihat daftar data yang bocor itu, tentu saja sangat berbahaya jika jatuh ke tangan pelaku kriminal, mengingat data tersebut dijual bebas. Sayangnya, Bhinneka.com terkesan enggan bertanggung jawab. Ini diperparah dengan tidak adanya sanksi dari pemerintah, dalam hal ini Kementerian Komunikasi dan Informasi selaku pengawas dan regulator.
Belajar dari kasus ini, RUU Perlindungan Data Pribadi wajib mengatur apa saja kewajiban platform yang gagal melindungi data penggunanya. Selain secepatnya memberi tahu pengguna tentang data apa saja yang bocor untuk kepentingan mitigasi, platform yang lalai melindungi data penggunanya juga sepatutnya dikenakan denda yang proporsional.
Dalam kasus Bhinneka, sudahlah gagal melindungi data pengguna, untuk memberitahu data apa saja yang dicuri pun mereka tidak peduli. Bahkan, hingga tiga bulan setelah kebocoran data terjadi. Padahal, ada 1,2 juta orang yang datanya berpotensi disalahgunakan oleh peretas.
Selain itu, usulan pembentukan Otoritas Pengawas Data Pribadi juga sudah sepatutnya diakomodir. Supaya ada yang fokus bekerja untuk melindungi data pribadi warga. Agar kasus Bhinneka.com tidak terulang lagi. Itu pun jika negara benar-benar peduli untuk melindungi data pribadi warganya.[]