kanalhukum.co. Sistem keamanan dan server Komisi Pemilihan Umum (KPU) perlu diaudit. Hal ini terkait dengan dugaan bocornya 204 juta data daftar pemilih tetap (DPT) yang kemudian dijual datanya oleh peretas dengan akun anonim bernama Jinbo. Namun saat ini belum ada tanggapan dari KPU terkait dengan dugaan tersebut.
Menurut pakar keamanan siber DR. Pratama Persadha perlu audit dan forensik terhadap sistem dan server KPU untuk memastikan titik serangan peretas untuk mendapatkan data pemilih. Ia menambahkan jika peretas Jimbo benar-benar berhasil mendapatkan kredensial dengan role admin, tentu saja sangat berbahaya pada Pemilu 2024. Alasannya karena bisa saja akun dengan role admin tersebut untuk mengubah hasil rekapitulasi penghitungan suara. “Ini tentunya akan mencederai pesta demokrasi, bahkan bisa menimbulkan kericuhan pada skala nasional,” kata Pratama yang juga Chairman Lembaga Riset Keamanan Siber CISSReC.
Pratama menyebut ada baiknya tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU. Hal ini dapat dilakukan untuk mencegah user yang semula didapatkan oleh peretas supaya tidak dapat dipergunakan kembali.
Pentingnya Keamanan Server dan Data KPU
Sebelumnya peretas dengan nama anonim Jimbo mengklaim meretas situs kpu.go.id dan mendapatkan data pemilih dari situs tersebut. Jimbo juga menyampaikan dalam postingan di forum tersebut bahwa data 252 juta terdapat beberapa data yang terduplikasi. Setelah Jimbo melakukan penyaringan, terdapat 204.807.203 data. “Jumlah ini hampir sama dengan jumlah pemilih dalam DPT sebanyak 204.807.222. Kemudian pemilih dari 514 kabupaten/kota di Indonesia serta 128 negara perwakilan,” ujar Pratama seperti dilansir laman antaranews.
Di dalam data tersebut, memiliki beberapa data pribadi yang cukup penting. Diantaranya adalah NIK, nomor KK, nomor KTP (berisi nomor paspor untuk pemilih yang berada di luar negeri). Selain itu juga ada nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan. Terdapat juga alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan, dan kabupaten serta kodefikasi TPS.
Tim CISSReC sendiri sudah mencoba melakukan verifikasi data sampel yang diberikan secara random melalui website cekdpt, dan data yang dikeluarkan oleh website cekdpt sama dengan data sampel yang dibagikan oleh peretas Jimbo, termasuk nomor TPS, tempat pemilih terdaftar.
“Jimbo menawarkan data tersebut seharga 74.000 dolar Amerika Serikat atau hampir setara Rp1,2 miliar,” kata Pratama. Pada tangkapan layar lainnya yang dibagikan oleh Jimbo, tampak sebuah halaman website KPU yang kemungkinan berasal dari halaman dasbor pengguna. Sebelumnya, CISSReC sudah memberikan alert (peringatan) kepada Ketua KPU tentang vulnerability (kerentanan) di sistem KPU pada tanggal 7 Juni 2023.
Dengan adanya tangkapan layar kemungkinan besar Jimbo mendapatkan akses login dengan dengan role admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering, atau melalui malware. Dengan memiliki akses dari salah satu pengguna tersebut, kata dia, Jimbo mengunduh data pemilih serta beberapa data lainnya.