Tidak dipungkiri, laju perkembangan teknologi yang luar biasa di era digital seperti saat ini memang banyak memberikan dampak positif. Namun dibalik segala kelebihannya, sesuatu hal diyakini akan mendatangkan hal-hal negative juga. Disatu sisi, teknologi mampu menghadirkan kecepatan pendistribusian informasi yang luar biasa. Update peristiwa dilokasi tertentu, misalnya invasi Rusia ke Ukraina, akan diketahui oleh public di belahan dunia lain. Dengan sekali klik, video yang diunggah, akan dapat ditonton oleh jutaan bahkan milyaran umat manusia di dunia. Namun, disisi lain, mengintip tindak kejahatan yang berevolusi dalam bentuk kejahatan cyber. Salah satu cyber crime yang paling populer adalah kebocoran data (data leak).

Salah satu peristiwa yang masih hangat dibicarakan dalam berbagai media terjadi di awal bulan Maret ini. Saat para ASN sedang menikmati romantisme tanggal muda, tiba-tiba publik dihebohkan dengan berita tentang kebocoran data pengguna internet. Hal itu terungkap setelah peneliti siber dari Singapura, DarkTracer, mempublikasikan laporannya bahwa terdapat kebocoran data kredensial lebih dari 49 ribu situs pemerintah di seluruh dunia. DarkTracer juga membuat daftar situs pemerintah dengan kebocoran data paling banyak. Dari data tersebut, terdapat tiga situs pemerintah Indonesia yang masuk dalam daftar 10 situs teratas, salah satunya melalui situs Ditjen Pajak (djponline.pajak.go.id). Terdapat 17.585 data kredensial untuk akses ke situs djponline.pajak.go.id yang bocor. Bukan hanya di situs itu saja, kebocoran data milik wajib pajak juga terjadi di situs ereg.pajak.go.id.

Namun kemudian secara resmi Direktur Penyuluhan, Pelayanan dan Hubungan Masyarakat (P2Humas) DJP menenangkan public melalui keterangan persnya pada tanggal 3 Maret 2022. Juru bicara Ditjen Pajak tersebut menyampaikan bahwa kebocoran data bukan berasal dari system internal DJP, melainkan berasal dari perangkat pengguna (user) yang terinfeksi malware, yang kemudian digunakan untuk masuk ke dalam situs pemerintahan. DJP pun menyarankan agar pengguna situs DJP dan wajib pajak secara luas segera mengganti kata sandi dengan yang lebih kuat dan aman secara berkala. Huffhhh…melegakan sekali. 

Jika menengok 2 bulan ke belakang, tepatnya di minggu pertama Januari 2022, DarkTracer juga melaporkan bahwa sebanyak 40.629 pengguna internet di Indonesia terinfeksi Stealer seperti Redline, Raccoon, Vidar dan lainnya. Selain itu, terdapat 502 ribu lebih data kredensial untuk akses ke domain .id (dot id) yang bocor dan didistribusikan melalui situs gelap. Data kredensial pengguna yang bocor tersebut tidak hanya data pengguna yang mengakses ke sejumlah situs pemerintahan saja seperti Kemdikbud, BKN, Ditjen Pajak, dan BPJS Ketenagakerjaan. Namun kebocoran juga sudah merambah ke data user yang mengakses beberapa aplikasi e-commerce seperti Shopee dan Lazada.

By the way, kenapa sih kok bisa data yang sebegitu penting bisa bocor? Dilansir dari situs UpGuard terdapat enam penyebab paling umum terjadinya kebocoran data di 2021, diantaranya kesalahan konfigurasi software, penipuan melalui rekayasa sosial (social engineering), password atau kata sandi yang digunakan berulang, pencurian barang yang mengandung data sensitif, kerentanan perangkat lunak, dan penggunaan kata sandi bawaan (default password).

Harus dipahami bersama bahwa kebocoran data sangat erat hubungannya dengan pembobolan data. Ketika data tanpa sengaja terekspos ke internet ataupun situs yang tidak aman, seorang peretas dengan senang hati akan segera mengakses informasi pribadi Anda untuk melakukan pembobolan data (data breach). By the way, kenapa sih kok bisa data yang sebegitu penting bisa bocor?

Jika kita perhatikan, banyak faktor yang berpotensi menjadi penyebab kebocoran data. Dari beberapa literatur, penulis mengelompokkan faktor-faktor tersebut menjadi 3 penyebab utama kebocoran data, yaitu faktor kesalahan manusia (human error), serangan Malware (malicious software), dan manipulasi psikologis melalui social engineering.

Pertama, human error. Fitrah manusia yang hobi mempraktekkan kebiasaan ekonomis diantaranya dengan mencari free software atau aplikasi bajakan (yang biasanya memberikan iming-iming free trial atau bonus-bonus lainnya) “memaksa” kita untuk secara suka rela memasukkan data pribadi berupa nomor telp di situs atau aplikasi yang tidak terjamin keamanannya. Dan tanpa kita sadari, hal ini sering kita lakukan.

Kedua, serangan malware. Acap juga kita lalai dan tidak teliti dalam menerima maupun mengirim email, yang berpotensi menjadi pintu masuk malware. Malware pada dasarnya adalah program yang dirancang untuk merusak dengan menyusup ke system computer. Salah satu jenis malware yang berbahaya yaitu spyware. Menurut salah satu vendor antivirus yang sudah mendunia, Kaspersky, spyware merupakan software yang didesain untuk masuk ke dalam perangkat komputer. Spyware mempunyai kemampuan mengumpulkan data-data pribadi user dan mengirimnya kepada pihak ketiga tanpa persetujuan user. Jahat sekali kan?

Ketiga, social engineering yaitu penggunaan manipulasi psikologis untuk mengumpulkan data sensitif seperti nama lengkap, username, password, dan sebagainya melalui media elektronik dengan menyamar sebagai pihak yang dapat dipercaya. Biasanya phishing memanfaatkan email untuk mengelabui korbannya. Email yang dikirimkan pelaku dapat berisi sesuatu yang mengatasnamakan pihak tertentu dan memancing korban untuk meng-klik tautan yang tercantum di dalamnya. Malah penulis beberapa kali mendapatkan sms yang berisi tautan dengan iming-iming bonus pulsa, bisa jadi sms dengan tautan tersebut merupakan kail untuk memancing “ikan-ikan” yang tergoda dengan umpan yang melambai-lambai memanggil-manggil untuk di klik.

Terlepas dari faktor-faktor utama tersebut, mungkin kita telah mengetahui tips-tips “normatif” untuk menghindari kebocoran data, yang bisa kita temukan di berbagai website maupun platform media social. Namun, apa yang harus kita lakukan jika sebuah data website sudah bocor? Langkah mitigasi yang paling cepat dan praktis yaitu, segera meng-update dan mengubah password akun user. Ibarat sebuah pintu, jika ada pelaku criminal yang sudah menduplikasi kunci tersebut, maka cara paling ampuh dan cepat yang bisa dilakukan empunya pintu yaitu langsung mengganti set pintu dengan yang baru. Cara tersebut disinyalir menjadi cara paling ampuh dan bisa dilakukan secara mandiri.

Memang, teknologi yang semakin maju disatu sisi akan semakin memudahkan manusia. Namun disisi lain, ancaman terhadap keamanan penggunaan teknologi juga semakin berevolusi.  Bagaimana menyikapinya? Tidak perlu paranoid atau kekuatiran yang berlebihan, yang penting tetap hati-hati dan waspada. Makanya bro, sayangi data pribadimu mulai sekarang. Karena privacy adalah privilege yang tidak akan pernah bisa ditukar dengan nominal berapa pun saja.  

(Penulis: Mahmud Ashari, Kepala Seksi Hukum dan Informasi KPKNL Kisaran)