Dari Mana Kebocoran Data Registrasi SIM Card?

Jakarta, CNN Indonesia —

Titik kebocoran 1,3 miliar data registrasi kartu SIM masih misteri. Lembaga-lembaga yang memegang data itu ramai-ramai membantahnya. Yang jelas, sampel-sampel data yang dijual di forum gelap itu valid.

Sebelumnya, data registrasi SIM Card yang diklaim berasal dari database Kominfo diduga bocor dan dijual oleh user forum breached.to, Brjorka.

Data yang diklaim pelaku tersebut berukuran total 18 GB yang berisi nomor induk kependudukan (NIK), nomor telepon, serta operator seluler.

Pelaku juga melampirkan sejumlah data sampel yang berisi informasi pengguna dari berbagai operator seluler.

Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center) Pratama Persadha mengungkap sejumlah titik yang berpotensi menjadi titik kebocoran.

“Masalahnya saat ini hanya mereka (Kominfo, Dukcapil, Operator seluler) yang memiliki dan menyimpan data ini. Kalau Operator Seluler sepertinya tidak mungkin, karena sample datanya lintas operator,” tuturnya.

Ia pun menyatakan sampel data yang dibagikan Bjorka riil karena bisa dikontak. “Dari 1,5 juta sampel data yang diberikan merupakan data yang valid”.

Berdasarkan Peraturan Menteri Komunikasi dan Informatika No. 12 Tahun 2016 tentang Registrasi Pelanggan Jasa Telekomunikasi, sejumlah pihak disebut memiliki kewenangan memiliki data pendaftaran kartu SIM itu.

Pertama, penyelenggara jasa telekomunikasi alias operator seluler. Pasal 17 Permenkominfo mengungkap opsel wajib menyimpan data pelanggan yang aktif maupun tidak aktif serta mesti merahasiakannya.

Kedua, Jaksa Agung atau Kapolri untuk kepentingan proses hukum. Ketiga, penyidik, juga dalam kepentingan proses peradilan.

Keempat, Menteri untuk keperluan kebijakan bidang telekomunikasi.

Kelima, instansi pemerintah yang menyelenggarakan urusan di bidang kependudukan untuk keperluan validasi. Sejumlah pihak menyebutnya sebagai Direktorat Jenderal Kependudukan dan Catatan Sipil (Dukcapil) Kementerian Dalam Negeri.

Keenam, instansi pemerintah lain sesuai ketentuan peraturan perundang-undangan. Permenkominfo ini tak menjelaskan lebih jauh soal ‘instansi pemerintah lain’ ini.

Ketujuh, Badan Regulasi Telekomunikasi Indonesia (BRTI). Pasal 18 Permenkominfo ini menjelaskan bahwa BRTI menerima laporan per tiga bulan dari operator soal data registrasi kartu SIM ini.

BRTI juga bertindak sebagai pengawas dan pengendali pelaksanaan Peraturan Menteri ini (Pasal 19).

Masalahnya, BRTI sudah dibubarkan Presiden Jokowi per 2020. Tugas dan kewenangannya dialihkan ke Kominfo.

Ramai bantahan

Menteri Komunikasi dan Informatika Johnny G. Plate membantah kebocoran data itu dari pihaknya. “Data itu tidak ada di Kominfo,” ujarnya, saat ditemui di Bali, Kamis (1/9).

Saat ditanya soal kemungkinan dugaan kebocoran data berasal dari operator selular, Plate menyatakan “Kalau menteri enggak boleh duga, mesti pasti, untuk pasti harus audit dulu.”

Dalam siaran pers, Kamis (1/9), Kominfo juga mengaku “tidak memiliki aplikasi untuk menampung data registrasi prabayar dan pascabayar”.

Senada, Dirjen Dukcapil Kemendagri Zudan Arif Fakrulloh menyatakan, berdasarkan pencermatan struktur datanya, data yang ada di https://breached.to.

“Dari pengamatan pada sistem milik Ditjen Dukcapil, tidak ditemukan adanya Log akses, Traffic, dan akses anomali yang mencurigakan,” katanya, dalam pernyataan tertulis, Jumat (2/9).

Respons operator di halaman berikutnya…

Dari pihak operator, Telkomsel mengaku sudah melakukan pemeriksaan internal dengan hasil data yang bocor itu bukan berasal dari perusahaan.

“Sesuai hasil pemeriksaan awal dari internal Telkomsel, dapat kami pastikan bahwa data yang diperjualbelikan di https://breached.to/Thread-Selling-INDONESIA-SIM-CARD-PHONE-NUMBER-REGISTRATION-1-3-BILLION, bukan berasal dari sistem yang dikelola Telkomsel,” ujar Vice President Corporate Communications Telkomsel Saki Hamsat Bramono, dalam keterangan tertulisnya, Jumat (2/9).

“Telkomsel memastikan dan menjamin hingga saat ini data pelanggan yang tersimpan dalam sistem Telkomsel tetap aman dan terjaga kerahasiaannya,” imbuhnya.

Senada, Steve Saerang, SVP-Head of Corporate Communications Indosat Ooredoo Hutchison (IOH), mengatakan data pelanggannya tetap terjaga.

“Bukan data dari Indosat,” ucapnya, “jadi data dari mana kita tidak bisa konfirmasi karena kalau data dari Indosat bisa dipastikan itu aman karena dikelola sendiri gitu”.

Sependapat, XL Axiata mengaku mematuhi aturan perundangan soal keamanan dan kerahasiaan data, yakni Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

“Sebagai perusahaan publik, XL Axiata senantiasa mematuhi (comply) terhadap aturan dan perundang-undangan yang berlaku di negara Republik Indonesia, termasuk aturan mengenai keamanan dan kerahasiaan data,” kata Group Head Corporate Communications EXCL Tri Wahyuningsih, dalam keterangan tertulis.

Terpisah, Ketua Umum Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) Muhammad Arif mengatakan data registrasi SIM card itu berada di lembaga negara.

“Data pribadi yang berkaitan dengan data kependudukan adanya di lembaga Negara yang memegang otoritas,” ujar dia tanpa merinci identitas lembaganya, kepada CNNIndonesia.com, Jumat (2/9).

Ia pun meyakini operator seluler tak menyimpan data pribadi tersebut secara utuh. Yang ada hanya nama pelanggan dan nomor selularnya.

“Kami yakin operator telekomunikasi tak memiliki data pribadi yg terkait dengan data kependudukan. Sebab ketika konsumen yg ingin berlangganan selular data tersebut diverifikasi oleh lembaga negara yang memiliki otoritas dan memegang data kependudukan,” tuturnya.

“Setelah dinyatakan sesuai, operator hanya diberikan notifikasi valid. Sehingga tak ada data kependudukan di operator telekomunikasi,” dia menambahkan.

Arif menduga data yang tersebar luas tersebut berasal dari oknum pinjaman online dan penyelenggara kartu kredit. “Sebab ketika masyarakat ingin mendapatkan akses KTA, pinjol atau KK, mereka harus menyerahkan data pribadi,” tandasnya.