Xcloud.id

Topik: kebocoran data

  • Google dan Microsoft Tahu Password via Fitur Cek Ejaan, Bocor Data?

    Google dan Microsoft Tahu Password via Fitur Cek Ejaan, Bocor Data?

    Jakarta, CNN Indonesia

    Aplikasi peramban (browser) milik Google dan Microsoft berpotensi mengumpulkan password lewat fitur cek ejaan. Apa dapat berujung kebocoran data?

    Fitur cek pengejaan pada peramban Google Chrome dan Microsoft Edge mengirimkan data ke server masing-masing perusahaan, mulai dari teks yang mengandung informasi pribadi hingga data sensitif seperti password.

    Data pribadi yang dikirimkan bergantung pada situs web yang dikunjungi dan teks yang diketik oleh pengguna. Terkadang data itu dapat mencakup Nomor Induk Kependudukan (NIK), nama, alamat, email, tanggal lahir, informasi kontak, informasi bank dan pembayaran, dan sebagainya.

    Hal ini kemudian menimbulkan kekhawatiran tentang seberapa aman data tersebut dikelola oleh penyedia layanan, terlebih password dapat digunakan oleh aktor jahat untuk melakukan berbagai serangan siber.

    Dilansir dari Bleeping Computer, fitur ini semakin berisiko jika mengaktifkan fitur cek ejaan yang lebih canggih, seperti Enhanced Spellcheck pada Chrome dan Microsoft Editor pada Edge.

    Pendiri & CTO perusahaan keamanan JavaScript otto-js Josh Summitt menemukan masalah fitur cek pengejaan saat menguji deteksi perilaku skrip perusahaannya.

    Jika Chrome Enhanced Spellcheck atau Edge Microsoft Editor diaktifkan, pada dasarnya apa pun yang dimasukkan dalam bidang formulir browser akan dikirimkan ke Google dan Microsoft.

    “Selanjutnya, jika Anda mengklik ‘tampilkan kata sandi’, fitur enhanced spellcheck bahkan mengirimkan kata sandi Anda, pada dasarnya membajak ejaan data Anda,” jelas otto-js dalam unggahan di blog pribadinya.

    “Beberapa situs web terbesar di dunia mengirimkan PII (data pribadi) penggunanya yang sensitif ke Google dan Microsoft, termasuk nama pengguna, email, dan kata sandi, saat pengguna masuk atau mengisi formulir,” ujar dia.

    “Kekhawatiran yang lebih signifikan bagi perusahaan adalah terbukanya data yang digunakan untuk kredensial perusahaan perusahaan ke aset internal seperti database dan infrastruktur cloud,” tambah Summitt.

    Terkait hal ini, juru bicara Google mengatakan fitur Enhanced Spellcheck hanya akan aktif atas seizin pengguna. “Fitur tersebut membutuhkan izin dari pengguna,” katanya. Fitur tersebut berbeda dengan fitur penguji ejaan (spell checker) bawaan Google Chrome dan tidak mentransfer data ke Google.

    Pengguna bisa mengecek lewat link chrome://settings/?search=Enhanced+Spell+Check untuk mengaktifkan atau tidak fitur Enhanced Spell Check. Dalam kolom dialog fitur itu, terlihat bahwa fitur tersebut memang mengirim data ke Google.

    Namun Google berdalih informasi yang didapat hanya disimpan secara sementara.

    “Teks yang diketik pengguna mungkin berisi informasi personal yang sensitif dan Google tidak menautkannya kepada identitas pengguna dan hanya memrosesnya di server sementara. Untuk memastikan privasi pengguna selanjutnya, kami akan bekerja untuk mengeluarkan password dari fitur cek ejaan,” kata Google.

    (lom/lth)

  • 5 Poin Penting UU PDP: Jerat Lembaga Lalai Hingga Hak Hapus Data

    5 Poin Penting UU PDP: Jerat Lembaga Lalai Hingga Hak Hapus Data

    Jakarta, CNN Indonesia

    Undang-undang Perlindungan Data Pribadi (UU PDP) memuat sejumlah poin penting terkait data pribadi warga. Pentingkah bagi warga?

    “Selasa, 20 September 2022, merupakan tonggak sejarah kemajuan perlindungan data pribadi di Indonesia,” klaim Menteri Komunikasi dan Informatika Johnny G. Plate, di kantornya, Selasa (20/9).

    “Pemerintah bersama-sama dengan DPR RI telah mengesahkan legislasi primer yang menjadi payung hukum utama pelindungan data pribadi di indonesia, yakni UU Pelindungan Data Pribadi,” lanjut dia.

    Benarkah segenting yang diungkapkan Plate? Mari simak beberapa poin perundangan baru ini:

    1. Pengumpul, Pembocor, Pengguna Data Pribadi

    Peretas, pembocor, dan pengguna, serta pemalsu data pribadi dapat terancam pidana penjara paling lama enam tahun dan/atau pidana denda hingga Rp6 miliar.

    Rinciannya, pertama, pengumpul data pribadi via jalur ilegal, baik itu peretasan, pembelian dari pihak lain, bisa kena hukuman maksimal 5 tahun bui dan/atau denda Rp5 miliar. (Pasal 67 ayat (1))

    Kedua, pengungkap data pribadi orang lain bisa dipenjara 4 tahun dan/atau denda maksimal Rp4 miliar. (Pazal 67 ayat (2))

    Ketiga, pengguna data pribadi yang bukan miliknya dipenjara 5 tahun dan/atau denda maksimal Rp5 miliar. (Pazal 67 ayat (3))

    Keempat, pemalsu data pribadi bisa dibui maksimal 6 tahun dan/atau denda maksimal Rp6 miliar. (Pazal 68)

    2. Pidana jumbo bagi korporasi

    Lain cerita jika pengakses, pengumpul, pengguna, dan pemalsu data pribadi adalah sebuah perusahaan.

    Menurut pasal 70 ayat 1, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.

    Adapun pidana yang dapat dijatuhkan terhadap korporasi adalah pidana denda dengan nilai 10 kali lipat dari denda terhadap individu.

    “Pidana denda maksimal Rp4-6 miliar, dan pidana penjara maks 4-6 tahun,” kata Menkominfo Johnny G Plate, Selasa (20/9).

    Selain itu, korporasi dapat dijatuhi berbagai pidana tambahan, mulai dari perampasan keuntungan dan/atau harta kekayaan hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, dan pelarangan permanen melakukan perbuatan tertentu.

    Kemudian, penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian.

    Lalu, pencabutan izin dan/atau pembubaran Korporasi.

    3. Denda bagi korporasi-BUMN lalai

    UU PDP mengatur beberapa kewajiban Pengendali Data Pribadi. Apa itu?

    Pasal 1 ayat (4) menjelaskan Pengendali Data Pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.

    Dengan kata lain, semua pihak yang mengelola data pribadi, mulai dari lembaga negara seperti Kementerian Komunikasi dan Informatika, operator seluler, hingga perusahaan asing seperti Google, terikat aturan ini.

    Apa saja kewajiban mereka?

    Pertama, wajib melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).

    Kedua, wajib menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36).

    Ketiga, wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).

    Keempat, wajib melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38).

    Kelima, wajib mencegah Data Pribadi diakses secara tidak sah (Pasal 39).

    Apa sanksinya jika abai terhadap kewajiban itu? RUU PDP mencantumkan konsekuensinya pada Pasal 57, yakni sanksi administratif.

    Bentuknya berupa peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.

    Berapa besar denda administratifnya? Pasal 57 ayat (3) menyebut bahwa “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.

    Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.

    Hak hapus data hingga dapat pemberitahuan kebocoran di halaman berikutnya…

    4. Lembaga wajib beri tahu bocor data

    Pengendali Data Pribadi, baik pemerintah atau swasta, wajib mengabari warga atau pelanggan yang terdampak kebocoran data.

    “Dalam hal terjadi kegagalan Pelindungan Data Pribadi (data pelanggan), Pengendali Data Pribadi (Kominfo-Operator seluler) wajib menyampaikan pemberitahuan secara tertulis paling lambat 3 x 24 jam kepada Subjek Data Pribadi (Pelanggan) dan lembaga,” jelas Pasal 46 ayat 1 UU PDP.

    Bagian penjelasan UU ini menerangkan bahwa ‘kegagalan Pelindungan Data Pribadi’ adalah kegagalan melindungi Data Pribadi seseorang dalam hal kerahasiaan, integritas, dan ketersediaan Data Pribadi, termasuk pelanggaran keamanan, baik yang disengaja maupun tidak disengaja, yang mengarah pada perusakan, kehilangan, perubahan, pengungkapan, atau akses yang tidak sah terhadap Data Pribadi yang dikirim, disimpan, atau diproses.

    Pemberitahuan tertulis tersebut setidaknya memuat data pribadi yang terungkap, penjelasan kapan dan bagaimana data itu terungkap, serta upaya penanganan dan pemulihan atas terungkapnya data pribadi oleh pihak pengendali.

    “Dalam hal tertentu, Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan Pelindungan Data Pribadi,” demikian Pasal 45 ayat (3) UU PDP.

    Artinya, jika terjadi lagi kebocoran data registrasi SIM card, Kementerian Komunikasi dan Informatika Republik Indonesia (Kominfo), operator seluler, hingga Dukcapil selaku pengendali data pelanggan wajib mengabari semua nomor yang terdampak.

    5. Warga bisa minta hapus data pribadi

    UU PDP memberi hak kepada warga untuk menarik dan menghapus data pribadinya.

    Pasal 8 menyebutkan “Subjek Data Pribadi berhak untuk mengakhiri pemrosesan, menghapus, dan/atau memusnahkan Data Pribadi tentang dirinya sesuai dengan ketentuan peraturan perundang-undangan.”

    Hal tersebut dikuatkan dengan penjelasan dalam Pasal 44. Dijelaskan bahwa pengendali data pribadi wajib memusnahkan data pribadi pada sejumlah hal.

    Pertama, masa retensi (penyimpanan) telah habis dan berketerangan dimusnahkan berdasarkan jadwal retensi arsip.

    “Terdapat permintaan dari Subjek Data Pribadi,” jelas Pasal 44 ayat 1 huruf b.

    Lalu, tidak berkaitan dengan penyelesaian proses hukum suatu perkara dan/atau Data Pribadi diperoleh dan/atau diproses dengan cara melawan hukum.

    Pemusnahan tersebut dilakukan sesuai dengan ketentuan peraturan perundang-undangan.

  • Plate: Perusahaan Jual Beli Data Pribadi Ilegal Didenda Rp50 Miliar

    Plate: Perusahaan Jual Beli Data Pribadi Ilegal Didenda Rp50 Miliar

    Jakarta, CNN Indonesia

    Menteri Komunikasi dan Informatika Johnny G Plate menyebut korporasi atau perusahaan yang sengaja mengumpulkan hingga membocorkan data pribadi masyarakat bisa didenda maksimal Rp60 miliar.

    Hal itu diungkap Johnny mengutip aturan Undang-undang Pelindungan Data Pribadi (UU PDP) yang disahkan oleh Dewan Perwakilan Rakyat (DPR) lewat rapat paripurna, Selasa (20/9).

    Hal itu merujuk pada pasal 67 dan 68 tentang pengumpulan, pengungkapan, penggunaan, serta pemalsuan data pribadi tanpa izin yang dilakukan individu. Denda maksimal bagi individu adalah Rp4 miliar hingga Rp6 miliar.

    Menurut Menkominfo, korporasi akan dikenakan denda 10 kali lipat dari individu itu. Hal tersebut tercantum dalam Pasal 70 ayat 1 UU PDP. Bahwa, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.

    “Dalam pasal 70 UU PDP terdapat pengenaan pidana denda 10 kali lipat dari pidana asli, beserta penjatuhan pidana tertentu lainnya, jika tindak pidana dilakukan oleh korporasi,” ujar Plate, ditemui di kantornya, Jakarta, Selasa (21/9).

    Siapa itu korporasi? Pasal 1 ayat (8) menjelaskan bahwa “Korporasi adalah kumpulan orang dan/atau kekayaan yang terorganisasi baik yang berbadan hukum maupun tidak berbadan hukum.”

    Rincian denda bagi korporasi, lanjut Plate, antara lain:

    1. Memalsukan data pribadi dipidana 6 tahun atau denda sebesar Rp60 miliar.

    2. Menjual atau membeli data pribadi dipidana 5 tahun atau denda sebesar Rp50 miliar.

    3. Pidana tambahan berupa perampasan keuntungan dan atau harta kekayaan pembukuan seluruh atau sebagian usaha korporasi sampai dengan pembubaran korporasi.

    “Pidana denda maksimal Rp4 sampai 6 miliar, dan pidana penjara maksimal 4 sampai 6 tahun,” kata Plate.

    Apabila terjadi jual beli data pribadi yang dilakukan oleh korporasi bisa berujung pidana tambahan berupa perampasan keuntungan dan atau pembekuan harta kekayaan seluruh atau sebagian usaha korporasi, sampai dengan pembubaran korporasi.

    Sebelumnya, deret kebocoran data pribadi yang diduga berasal dari sejumlah perusahaan swasta maupun BUMN setidaknya dalam dua bulan terakhir. Di antaranya, IndiHome, Jasa Marga, PLN, Tokopedia, dan operator-operator seluler, hingga Kominfo sendiri.

    Namun, hanya Jasa Marga yang tak membantah kebocoran data itu.

    Selain itu, ada masalah penjualan data pribadi tanpa izin ke perusahaan pinjaman online (pinjol) ilegal, perusahaan penyalur kredit tanpa agunan (KTA), hingga judi online. Indikasinya, mereka bisa menyalurkan iklan via SMS secara masif.

    (can/arh)

    [Gambas:Video CNN]

  • LBH soal UU PDP: Lembaga Perlindungan Data Berpotensi Tak Independen

    LBH soal UU PDP: Lembaga Perlindungan Data Berpotensi Tak Independen

    Jakarta, CNN Indonesia

    Lembaga Bantuan Hukum (LBH) Jakarta mengkritik Undang-Undang Perlindungan Data Pribadi (UU PDP) perihal Lembaga Perlindungan Data Pribadi yang dianggap tak independen. Dalam UU PDP, Lembaga Perlindungan Data Pribadi berada di bawah Presiden/Kementerian.

    Sebelumnya dalam RUU PDP, Lembaga Perlindungan Data Pribadi dimuat dalam pasal 58 ayat (3) dan (4). Ayat 3 dan 4 berbunyi: Lembaga sebagaimana dimaksud pada ayat (2) ditetapkan oleh Presiden (ayat 3). Lembaga sebagaimana dimaksud pada ayat (2) bertanggung jawab kepada Presiden (ayat 4).

    Menurut LBH, ayat posisi Lembaga tersebut yang berada di bawah presiden “berpotensi tarik menarik penyalahgunaan untuk kepentingan politik atau oleh penguasa,” LBH mencontohkan Komisi Pemberantasan Korupsi (KPK) yang kini berstatus sebagai lembaga negara sesuai Putusan MK No. 36/PUU-XV/2017. “Dengan menempatkan KPK sebagai lembaga negara dalam rumpun eksekutif yang tentunya berdampak pada kinerja pemberantasan korupsi yang dilakukan KPK yang sudah tidak segarang dahulu dalam memburu para koruptor di negeri ini,” tulis LBH dalam keterangan resminya.

    Lebih lanjut, LBH juga berpandangan struktur dan unsur dalam Lembaga Perlindungan Data Pribadi “harus diatur dan dimuat dalam UU PDP itu sendiri, seperti pada beberapa lembaga negara di luar konstitusi yang lahir atas sebuah peraturan perundang-undang (misal: UU ORI, UU KPK, UU HAM, dan Komnas Perempuan yang dibentuk melalui Kepres No. 181/1998)”

    Menurut LBH, Lembaga Perlindungan Data Pribadi masuk ke dalam kategori lembaga yang memiliki kepentingan konstitusional (constitutional importance) yang dapat dilihat dalam Pasal 28G ayat (1) UUD NRI 1945.

    “Hal lain yang membuat Badan/Lembaga Otoritas Perlindungan Data Pribadi memiliki kepentingan konstitusional adalah karena perlindungan HAM merupakan materi yang harus ada dalam konstitusi setiap negara hukum yang salah satunya dicirikan dengan negara yang menghormati HAM,” tulis LBH.

    Di sisi lain, LBH pun mengkritik pembahasan UU PDP yang tidak transparan. Menurut LBH, pembahasan UU ini begitu cepat “akibat adanya beberapa kasus kebocoran data pribadi dan Permenkominfo 5/2020 tentang PSE Lingkup Privat.”

    LBH pun mendesak tiga poin kepada Presiden Jokowi dan DPR menyikapi pengesahan UU PDP. Pertama, Presiden dan DPR wajib melakukan pemantauan penerapan UU PDP. Kedua, Presiden dan DPR “tidak berkompromi untuk menempatkan kedudukan dan struktur kelembagaan Lembaga/Badan Perlindungan Data Pribadi berada di bawah Presiden atau Kementerian untuk menciptakan independensi (independent bodies/state auxiliary organ)”

    Ketiga, LBH mendesak Presiden dan DPR untuk membuka kanal-kanal dan medium pelibatan dan penyerapan masukan dari masyarakat atas berlakunya UU PDP.

    Seperti diketahui, pemerintah dan DPR baru saja mengesahkan UU PDP lewat Rapat Paripurna DPR (Pembicaraan Tingkat II), Selasa (20/9). UU tersebut memuat sanksi terhadap mereka yang mengakses dan membocorkan data pribadi secara ilegal.

    Pada naskah final RUU PDP, ada 371 Daftar Inventarisasi Masalah (DIM) dan 16 Bab serta 76 pasal. Jumlah pasal itu bertambah empat dari usulan awal pemerintah pada akhir 2019 yakni 72 pasal.

    Rapat Paripurna pengesahan RUU PDP sendiri dihadiri 295 anggota dewan, dengan rincian 73 orang hadir secara fisik, 206 orang hadir secara virtual. Sedangkan, sebanyak 16 orang tak hadir atau izin.

    (lth/lth)

    [Gambas:Video CNN]

  • Siapa yang Dimintai Tanggung Jawab Jika Ada Serangan Hacker?

    Siapa yang Dimintai Tanggung Jawab Jika Ada Serangan Hacker?

    Jakarta, CNN Indonesia

    Undang-undang Perlindungan Data Pribadi (UU PDP) disebut memuat mekanisme apa yang harus dilakukan saat terjadi peretasan atau kebocoran data di pengelola data.

    Mulanya, Menteri Komunikasi dan Informatika (Menkominfo) Johnny G. Plate menjawab pertanyaan soal perlindungan apa yang diberikan UU PDP terhadap serangan hacker.

    “Apabila terjadi insiden data pribadi, kebocoran data pribadi, maka yang akan dilakukan pemeriksaan terhadap penyelenggara data pribadi apakah mereka telah menjalankan compliance (kepatuhan) sesuai Undang-undang PDP,” ujar dia, di Kompleks Parlemen, Senayan, Jakarta, Selasa (20/9).

    “Jika tidak, mereka diberi berbagai jenis sanksi seperti yang diatur dalam UU PDP,” imbuhnya.

    UU PDP sendiri resmi disahkan oleh DPR RI pada Rapat Paripurna DPR ke-5 Masa Persidangan I Tahun Sidang 2022-2023, Selasa (20/9). UU ini memuat 76 pasal dalam 16 bab, mendapat penambahan 4 pasal dari sebelumnya 72 pasal.

    Merujuk pada draf terakhirnya, UU PDP sendiri hanya mengenal istilah ‘Pengendali Data Pribadi’, yakni “setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam menentukan tujuan dan melakukan kendali pemrosesan Data Pribadi.”

    Mengenai pemeriksaan penyelanggara data yang dimaksud Johnny, Pasal 34 UU PDP menyebutkan pengendali data pribadi wajib “melakukan penilaian dampak pelindungan data pribadi dalam hal pemrosesan data pribadi memiliki potensi risiko tinggi terhadap subjek data pribadi.”

    Penilaian dampak pelindungan data pribadi tersebut dilakukan untuk mengevaluasi potensi risiko yang timbul dari suatu pemrosesan data pribadi serta upaya atau langkah yang harus dilakukan untuk memitigasi risiko, termasuk terhadap hak subjek data pribadi dan mematuhi undang-undang ini.

    Selain itu, Pengendali Data Pribadi juga wajib melakukan pelindungan dan memastikan data pribadi yang diprosesnya tetap aman sebagaimana dijelaskan pada pasal 35.

    1. Penyusunan dan penerapan langkah teknis operasional untuk melindungi data pribadi dari gangguan pemrosesan data pribadi yang bertentangan dengan ketentuan peraturan perundang-undangan.

    2. Penentuan tingkat keamanan data pribadi dengan memperhatikan sifat dan risiko dari data pribadi yang harus dilindungi dalam pemrosesan data pribadi.

    Jika sederet kewajiban soal keamanan ini tidak dapat dipenuhi oleh P maka pemerintah akan memberikan sanksi administratif.

    Dalam pasal 57 ayat 2, sanksi administratif yang bisa diberikan mulai dari peringatan tertulis, penghentian sementara kegiatan pemrosesan data pribadi, penghapusan atau pemusnahan data pribadi, serta denda administratif.

    Terkait denda administratif, dalam pasal 57 ayat 3 disebutkan nominal denda memiliki angka maksimal dua persen dari pendapatan atau penerimaan tahunan terhadap variabel pelanggaran yang dilakukan PSE.

    Denda tersebut nantinya akan diberikan oleh lembaga khusus yang mengawasi perlindungan data pribadi di tanah air. Lembaga yang langsung berada di bawah presiden ini akan dibentuk lewat Peraturan Pemerintah.

    Indonesia sendiri sempat dihebohkan oleh pembocoran data yang dilakukan oleh pengguna situs BreachForums Bjorka. Salah satu bocorannya adalah data registrasi SIM card dan pelanggan IndiHome.

    (lom/cfd/arh)

    [Gambas:Video CNN]

  • Menkominfo Ungkap Sanksi Berat Kebocoran Data Korporasi di UU PDP

    Menkominfo Ungkap Sanksi Berat Kebocoran Data Korporasi di UU PDP

    Jakarta, CNN Indonesia

    Perusahaan yang mengakses dan membocorkan data pribadi secara ilegal serta lalai menjaga data pribadi pelanggan dapat terancam denda besar hingga perampasan keuntungan.

    Hal tersebut tertuang dalam draf Rancangan Undang-Undang Tentang Perlindungan Data Pribadi (RUU PDP) yang sudah disahkan menjadi UU dalam Rapat Paripurna DPR (Pembicaraan Tingkat II), Selasa (20/9).

    Apa saja sanksinya? “Ah, baca sendiri,” timpal Menteri Komunikasi dan Informatika Johnny G Plate, usai Rapat Paripurna tersebut, di kompleks parlemen Senayan, Jakarta, Selasa (20/9).

    Kelalaian menjaga data

    UU PDP mewajibkan, pertama, Pengendali Data pribadi (pemerintah maupun swasta) melindungi dan memastikan keamanan Data Pribadi dengan melakukan penyusunan dan penerapan langkah teknis operasional (Pasal 35 RUU PDP).

    Kedua, menjaga kerahasiaan Data Pribadi dalam pemrosesannya (Pasal 36). Ketiga, melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi di bawah kendali Pengendali Data Pribadi (Pasal 37).

    Keempat, melindungi Data Pribadi dari pemrosesan yang tidak sah (Pasal 38). Kelima, mencegah Data Pribadi diakses secara tidak sah (Pasal 39).

    Jika tak menaati kewajiban itu, UU PDP mencantumkan sanksi administratif (pasal 57). Bentuknya, peringatan tertulis, penghentian sementara kegiatan pemrosesan Data Pribadi, penghapusan atau pemusnahan Data Pribadi, dan/atau denda administratif.

    Pasal 57 ayat (3) menyebut bahwa “Sanksi administratif berupa denda administratif sebagaimana dimaksud pada ayat (2) huruf d paling tinggi 2 (dua) persen dari pendapatan tahunan atau penerimaan tahunan terhadap variabel pelanggaran”.

    Pihak yang berhak menjatuhkan sanksinya adalah lembaga PDP dengan rincian ketentuan lebih lanjut dalam Peraturan Pemerintah.

    “[Sanksi] bervariasi mulai dari hukuman empat tahun sampai enam tahun maupun hukuman denda dari empat miliar sampai enam miliar setiap kejadian. Dan apabila terjadi kesalahan maka dikenakan sanksi sebesar 2 persen dari total pendapatan tahunannya dan bervariasi,” tutur Menkominfo.

    Akses ilegal

    Menkominfo melanjutkan korporasi juga terancam denda besar jika menggunakan data pelanggan secara ilegal. 

    “Apabila ada korporasi, orang-orang dan korporasi yang menggunakan data pribadi secara ilegal, maka sanksi jauh lebih berat berupa perampasan seluruh kegiatannya yang terkait manfaat ekonomi atas data pribadi yang dimaksud kalau ilegal,” kata Plate.

    Berdasarkan Pasal 67 UU PDP, denda besar disiapkan bagi pihak yang mengumpulkan data pribadi untuk keuntungan sendiri.

    “Setiap Orang yang dengan sengaja dan melawan hukum memperoleh atau mengumpulkan Data Pribadi yang bukan miliknya dengan maksud untuk menguntungkan diri sendiri atau orang lain yang dapat mengakibatkan kerugian Subjek Data Pribadi sebagaimana dimaksud dalam Pasal 65 ayat (1) dipidana dengan pidana penjara paling lama lima tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00 (lima miliar rupiah),” demikian bunyi pasal 67 ayat 1.

    Tak hanya itu, orang yang membocorkan dan memakai data pribadi orang lain secara ilegal masing-masing terancam denda Rp4 miliar dan Rp5 miliar.

    “Setiap Orang yang dengan sengaja dan melawan hukum mengungkapkan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (2) dipidana dengan pidana penjara paling lama 4 (empat) tahun dan/atau pidana denda paling banyak Rp4.000.000.000,00,” demikian bunyi Pasal 67 ayat (2) UU PDP.

    “Setiap Orang yang dengan sengaja dan melawan hukum menggunakan Data Pribadi yang bukan miliknya sebagaimana dimaksud dalam Pasal 65 ayat (3) dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/atau pidana denda paling banyak Rp5.000.000.000,00,” Pasal 67 ayat (3) UU PDP.

    Sanksi berlipat disiapkan bagi perusahaan atau korporasi yang melanggar pasal-pasal di atas.

    Menurut pasal 70 ayat 1, pidana dapat dijatuhkan kepada pengurus, pemegang kendali, pemberi perintah, pemilik manfaat, dan atau korporasi.

    “Pidana denda yang dijatuhkan kepada korporasi paling banyak sepuluh kali dari maksimal pidana denda yang diancamkan,” jelas Pasal 70 ayat 3 UU PDP.

    Secara hitungan kasar, denda maksimal bagi korporasi pembocor data bisa mencapai Rp50 miliar.

    Selain itu, korporasi dapat dijatuhi berbagai pidana tambahan. Mulai dari perampasan keuntungan dan/atau harta kekayaan hasil dari tindak pidana, pembekuan seluruh atau sebagian usaha korporasi, dan pelarangan permanen melakukan perbuatan tertentu;

    Penutupan seluruh atau sebagian tempat usaha dan/atau kegiatan korporasi, melaksanakan kewajiban yang telah dilalaikan, dan pembayaran ganti kerugian. Lalu, pencabutan izin dan/atau pembubaran Korporasi.

    “UU PDP mengatur institusi perorangan, korporasi baik di dalam negeri maupun global,” tandas Plate.

    Sebelumnya, Indonesia kerap dikritik karena tak bisa memberi sanksi berat terhadap perusahaan, terutama asing, yang mestinya bertanggung jawab dalam kebocoran data publik.

    (lom/cfd/arh)

    [Gambas:Video CNN]

  • Bjorka Bikin Geger Satu Negara, BSSN Nilai Masih Intensitas Rendah

    Bjorka Bikin Geger Satu Negara, BSSN Nilai Masih Intensitas Rendah

    Depok, CNN Indonesia

    Badan Siber dan Sandi Negara (BSSN) mengatakan aksi pembocoran data oleh hacker Bjorka masih terbilang berintensitas rendah.

    “[Aksi Bjorka] ini masih terbilang intensitas rendah,” kata Kepala BSSN Hinsa Siburian, di kantornya, Depok, Selasa (13/9).

    “Tapi kita tetap tindaklanjuti,” lanjutnya.

    Terlepas dari itu, Hinsa mengakui data-data yang dibocorkan oleh Bjorka terbilang penting bagi masyarakat.

    “Saya kira data-data itu penting, saya setuju,” ucapnya.

    Sebelumnya, keamanan siber di Indonesia menuai kritik tajam warga dan aktivis lantaran rentetan kebocoran data pribadi oleh user BreachForums Bjorka, mulai dari data pelanggan Tokopedia, IndiHome, registrasi SIM card, KPU, hingga surat untuk Presiden Jokowi.

    Data-data yang dibocorkan mencakup NIK, nomor KK, nomor telepon, hingga user dan password pelanggan.

    Ia pun menjadi fenomena baru. Namanya jadi trending topic di Twitter. Pejabat-pejabat berkomentar, termasuk yang kena doxing. Istana pun menggelar rapat khusus membahasnya.

    Ketua Lembaga Riset Keamanan Siber CISSReC Pratama Persadha mengatakan serangan Bjorka ini menjadi bukti sistem keamanan siber pemerintah lemah.

    “Dan ini menjadi pelajaran buat pemerintah bahwa ya ini lho sistem Anda itu lemah lho. Anda itu harus melindungi masyarakat gitu,” terang Pratama.

    “Akhirnya yang rugi siapa? Balik lagi masyarakat. Akhirnya menjadi korban penipuan, datanya digunakan untuk iklan judi online, penipu pinjol ilegal, dan lain-lain gitu,” jelas dia.

    Kepala BSSN Hinsa Siburian mengakui pihaknya masih membangun sistem.

    “Relatif lah ya. Pengertian lemah kita juga melihat memang saya katakan tadi, latar belakang kita sedang ya sedang membangun. Saya juga tidak mengatakan bahwa kita sudah sudah aman, sudah kuat, karena memang banyak hal yang harus kita bangun,” ujar Hinsa saat diwawancara di CNN Indonesia TV Newsroom, Minggu (11/9) malam.

    (arh/arh)

    [Gambas:Video CNN]

  • Serangan Bjorka ke Puan hingga Luhut Masuk Kategori Doxing, Apa Itu?

    Serangan Bjorka ke Puan hingga Luhut Masuk Kategori Doxing, Apa Itu?

    Jakarta, CNN Indonesia

    Peretas Bjorka melakukan doxing atau pengungkapan data pribadi sejumlah tokoh, mulai dari Menko Kemaritiman dan Investasi Luhut Binsar Pandjaitan hingga Ketua DPR RI Puan Maharani.

    Rangkaian doxing yang dilakukan Bjorka dimulai pada Sabtu (10/9) saat dirinya mengungkap data pribadi milik Menkominfo Johnny G. Plate.

    “Happy birthday,” tulis Bjorka di grup telegram Bjorkanism pada Sabtu (10/9) siang.

    Bersama ucapan tersebut, Bjorka juga melakukan doxing dengan melampirkan sejumlah data-data pribadi yang diduga milik Johnny, seperti NIK, nomor Kartu Keluarga, alamat, nomor telepon, nama anggota keluarga, hingga nomor vaksin.

    Dilansir dari Kaspersky, Doxing merupakan tindakan mengungkapkan informasi identitas tentang seseorang secara online, seperti nama asli, alamat rumah, tempat kerja, telepon, keuangan, dan informasi pribadi lainnya. Informasi tersebut kemudian diedarkan ke publik tanpa izin korban.

    Sehari berselang, Bjorka semakin gencar melakukan doxing dan yang menjadi korban berikutnya adalah Dirjen Aptika Kominfo Semuel Abrijani Pangerapan.

    Setelah Semuel, berturut-turut Ketua DPR RI Puan Maharani, Menteri BUMN Erick, pegiat media sosial Denny Siregar, lalu Menko Kemaritiman dan Investasi Luhut Binsar Pandjaitan pun menjadi korban doxing dari peretas ini.

    Format doxing yang diberikan Bjorka tetap sama seperti saat pertama kalinya dia melampirkan doxing. Dia memberikan narasi disertai gambar yang memuat data-data seperti nama, nomor telepon, NIK, nomor KK, alamat, golongan darah, hingga data vaksin.

    Belum diketahui dari mana Bjorka bisa mendapatkan sejumlah data-data tersebut.

    Lebih lanjut, Johnny yang menjadi korban doxing pertama diketahui mengganti nomor ponselnya setelah datanya diungkap. Namun Bjorka memberikan pembaruan pada doxing tersebut dengan menambahkan nomor yang diduga nomor ponsel terbaru Johnny.

    Selain aksi doxing pada sejumlah tokoh ini, Bjorka juga menjadi dalang peretasan 1,3 miliar data registrasi SIM Card serta dokumen surat-surat Presiden Jokowi.

    Kasus kebocoran data 1,3 miliar SIM Card sendiri menobatkan Indonesia sebagai korban kasus kebocoran data terbesar di Asia hingga saat ini.

    Kebocoran data besar ini sudah hampir dua pekan terungkap, tetapi masih belum ada pihak atau lembaga yang mengaku bertanggung jawab atas kasus ini.

    Di sisi lain mengutip situs Avast, pengguna internet bisa melakukan sejumlah cara agar tidak menjadi korban doxing. “Kunci mencegah doxing adalah meminimalisasi informasi tentang pribadi di internet. Pengguna juga perlu menyembunyikan alamat IP mereka, mengamankan akun media sosial, dan tetap anonim jika dalam jaringan,” tulis Avast. 

    (lom/lth)

  • Daftar Ejekan Bjorka ke Pemerintah: Sebut Idiot Hingga Minta Digerebek

    Daftar Ejekan Bjorka ke Pemerintah: Sebut Idiot Hingga Minta Digerebek

    Jakarta, CNN Indonesia

    Peretas Bjorka sempat melontarkan sejumlah sindiran hingga tantangan kepada pemerintah Indonesia hingga pejabatnya secara individu.

    Diketahui, Bjorka mengunggah miiliaran data pribadi yang diklaim hasil pembobolan sejumlah institusi pemerintah atau BUMN. Hal itu membuat rezim meradang hingga mengeluarkan bantahan atau tudingan hoaks terhadap pembocoran data itu.

    Namun, sejumlah pakar siber mengatakan data-data yang dibocorkan valid. Warganet pun memberi dukungan.

    Bak mendapat angin, Bjorka tak segan mengunggah berbagai pernyataan atau kicauan yang ofensif terhadap pemerintah. Apa saja?

    1. Sebutan idiot 

    Pernyataan pertama peretas ini yang mengisyaratkan nada tantangan adalah menyebut pemerintah Indonesia idiot.

    Pernyataan ini keluar setelah Direktorat Jenderal Aplikasi Informatika Kementerian Komunikasi dan Informatika Semuel Abrijani Pangerapan, terkait kasus kebocoran 1,3 miliar data SIM card, meminta hacker untuk tidak menyerang ruang siber Indonesia.

    “Kalau bisa jangan menyerang. Tiap kali kebocoran data yang dirugikan ya masyarakat, kan itu perbuatan illegal access,” ucap dia, Senin (5/9).

    Menangkap pesan itu lewat pemberitaan, Bjorka pun memberi balasan di unggahan BreachForums-nya.

    “My Message to Indonesian Goverment: Stop being an idiot (pesan saya untuk pemerintah Indonesia: berhentilah jadi orang bodoh, red),” cetusnya, Selasa (6/9) pukul 08.58 WIB.

    2. Pemerintah Bingung

    Salah satu rekam jejak pembocoran Bjorka adalah leak daftar dokumen rahasia yang dikirim kepada Presiden Joko Widodo (Jokowi) pada Jumat (9/9).

    Menanggapi kasus kebocoran data itu, Kepala Sekretariat Presiden (Kasetpres) Heru Budi Hartono mengatakan aparat tengah memproses kasus kebocoran data itu secara hukum dan memburu pelakunya.

    “Saya rasa pihak penegak hukum akan memproses secara hukum dan mencari pelakunya,” kata dia, dikutip dari Antara, Sabtu (10/9).

    Peretas yang mengaku berbasis di Warsawa, Polandia, itu kemudian mengejek pemerintah Indonesia sedang kebingungan mencari dirinya.

    “do u know that u and all ur people no one can do this? because it’s been 21 days since my first leak. and all of u are still confused about where to start (Sadar enggak sih tak seorang pun dari Anda dan semua orang-orang Anda bisa melakukannya? 21 hari sejak pembocoran data pertamaku, Anda semua masih bingung dari mana memulainya, red),” kicaunya di akun Twitter @bjorkanisme, yang kini sudah ditangguhkan, Sabtu (10/9).

    3. Orang bodoh di kursi kekuasaan

    Bjorka mengakui pembocoran data alias leak ini merupakan cara untuk menunjukkan bahwa lembaga pemerintah tetap akan bobrok selama dipimpin oleh yang bukan ahlinya.

    “this is a new era to demonstrate differently. nothing would change if fools were still given enormous power. the supreme leader in technology should be assigned to someone who understands, not a politician and not someone from the armed forces. because they are just stupid people,” kicau dia, di akun Twitter-nya.

    (Ini adalah era baru untuk berdemo dengan cara berbeda. Tidak ada yang akan berubah jika orang bodoh masih diberi kekuatan yang sangat besar. Pemimpin tertinggi dalam teknologi harus ditugaskan kepada seseorang yang mengerti, bukan politisi dan bukan seseorang dari angkatan bersenjata. karena mereka hanyalah orang-orang bodoh, red).

    Bjorka mengaku cuma “ingin menunjukkan betapa mudahnya untuk masuk ke berbagai pintu karena kebijakan perlindungan data yang buruk. Apalagi jika dikelola oleh pemerintah.”

    4. Meme pejabat ketakutan

    Via grup Telegramnya, Bjorka kembali menyindir pejabat Indonesia yang diklaimnya tengah gemetaran bak menanti giliran dibocorkan data pribadi olehnya.

    “the other leaders who are waiting for their turn (pejabat lain yang menunggu giliran mereka)” tulisnya, sambil melampirkan foto meme populer yang memperlihatkan seorang pria banjir keringat karena ketakutan, Senin (12/9).

    5. Spam untuk pejabat

    Di dalam cuitannya, Bjorka mengaku mengemban misi membantu orang-orang, termasuk menyambungkan warga dengan pemimpinnya.

    “Misi saya hanya untuk membantu siapa saja yang membutuhkan bantuan. termasuk membantu warga negara indonesia yang ingin menghubungi dan bertanya kepada pimpinannya. setidaknya mereka merasakan bagaimana rasanya menerima spam,” tulisnya, merujuk pada pembocoran data-data pribadi para pejabat (doxing) pada Senin (12/9).

    Bjorka menyebut yang dilakukannya merupakan wujud “hari kebalikan”; yakni saat para pejabat merasakan data bocor.

    6. Minta digerebek

    Dalam grup telegram, Bjorka juga sempat sesumbar dan menantang pemerintah untuk menggerebek dirinya usai meretas daftar surat untuk Presiden.

    “I’m still waiting to be raided by the Indonesian goverment (Saya menunggu digerebek Pemerintah Indonesia)” sesumbarnya.

    (lom/arh)

    [Gambas:Video CNN]

  • Menkominfo Klaim Bocoran Data Bjorka Tak Spesifik, Bagaimana Nomor Hp?

    Menkominfo Klaim Bocoran Data Bjorka Tak Spesifik, Bagaimana Nomor Hp?

    Jakarta, CNN Indonesia

    Menteri Komunikasi dan Informatika Johnny G Plate mengakui kebocoran data pribadi dengan dalangnya hacker Bjorka. Namun, ia mengklaim itu bukan data-data spesifik dan terbaru.

    Hal itu dikatakannya usai rapat internal dengan Presiden Jokowi, Wakil Presiden Ma’ruf Amin, Menko Polhukam Mahfud MD, di Istana Kepresidenan Jakarta, Senin (12/9).

    “Di rapat dibicarakan bahwa memang ada data-data yang beredar oleh salah satunya Bjorka, tetapi setelah ditelaah sementara, data-data yang umum, data-data umum, bukan data-data spesifik, bukan data-data yang ter-update,” klaimnya, seusai pertemuan itu.

    Pihaknya, bersama Badan Siber dan Sandi Negara (BSSN), Polri, dan Badan Intelijen Negara (BIN) “akan berkoordinasi untuk menelaah secara dalam”.

    Plate juga menyebut rapat itu mengungkapkan perlunya pembentukan tim respons darurat terkait insiden kebocoran data ini.

    “Perlu ada emergency response team terkait untuk menjaga data, tata kelola data yang baik di Indonesia, dan untuk menjaga kepercayaan publik. Jadi akan ada emergency response team, dari BSSN, Kominfo, Polri, dan BIN, untuk melakukan asesmen-asesmen berikutnya,” jelas dia, yang sempat jadi korban doxing atau pengungkapan data pribadi oleh Bjorka itu.

    Diketahui, user situs BreachForums Bjorka mengunggah data hasil leak situs IndiHome, Tokopedia, Wattpad, registrasi SIM card, KPU, hingga surat untuk Presiden Jokowi.

    Isinya merupakan data pribadi spesifik berupa nomor induk kependudukan (NIK), nomor kartu keluarga (KK), nomor telepon, hingga nomor vaksin.

    Hasil analisis sejumlah pakar siber menyebut data-data yang dibocorkan itu valid alias asli. Salah satu indikasinya adalah nomor telepon pelanggan yang bocor bisa dikontak.

    Plate pun menjadi salah satu korban doxing Bjorka, Sabtu (10/9), bertepatan di hari ulang tahunnya ke-66. “Happy birthday,” nyinyir Bjorka di grup telegram Bjorkanism.

    Ia pun melampirkan sejumlah data-data pribadi yang diduga milik Johnny, seperti NIK, nomor KK, alamat, nomor telepon, nama anggota keluarga, hingga nomor vaksin.

    CNNIndonesia.com memeriksa NIK yang disebarkan Bjorka itu dengan data di situs KPU serat nomor ponselnya dengan yang dimiliki wartawan. Hasilnya identik.

    Usai kasus doxing itu, Plate pun mengganti nomor ponsel WhatsApp-nya.

    (dhf/arh)

    [Gambas:Video CNN]