Waduh, Data ASN di Aceh Bocor, Dijual Rp 160 Juta, BKN Minta PNS Ganti Password

TRIBUNNANGGROE.COM - Basis data Badan Kepegawaian Negara (BKN) dari laman Satu Data Aparatur Sipil Negara (ASN) atau satudataasn.bkn.go.id diduga mengalami kebocoran dan dijual di forum peretas Breachforums.

Dugaan kebocoran tersebut salah satunya diunggah oleh akun media sosial X, @Falcon***, Sabtu (10/8/2024).

Tampak dalam unggahan, data BKN yang bocor mencakup informasi pribadi dari 4.759.218 pegawai negeri sipil (PNS) dan pegawai pemerintah dengan perjanjian kerja (PPPK) di seluruh provinsi.

"Seorang pelaku ancaman mengaku menjual basis data dari Satu Data ASN (http:// satudataasn.bkn.go.id)," tulis pengunggah.

Lalu, bagaimana penjelasan BKN?

Kepala Biro Humas, Hukum, dan Kerja Sama BKN, Vino Dita Tama mengatakan, pihaknya masih menyelidiki dugaan kebocoran data dari laman Satu Data ASN.

"Sedang dilakukan investigasi," ujarnya, saat dihubungi Kompas.com, Minggu (11/8/2024).

Vino memastikan dugaan gangguan ini tidak berdampak pada layanan manajemen ASN, sehingga tidak mengganggu proses berjalannya sistem elektronik yang di akses oleh masyarakat.

"Namun demikian, kami mengimbau kepada seluruh pengguna layanan BKN untuk segera memperbarui kata kunci atau password, dan pembaharuan kata kunci wajib dilakukan secara berkala untuk menghindari hal-hal yang tidak diinginkan," imbuhnya.

Sementara itu, Chairman lembaga riset keamanan siber Communication & Information System Security Research Center (CISSReC) Pratama Persadha mengungkapkan, temuan dugaan kebocoran berawal dari unggahan peretas dengan nama anonim "TopiAx" di Breachforums pada Sabtu (10/8/2024).

Pada unggahannya, peretas mengeklaim berhasil mendapatkan 4.759.218 data BKN, antara lain terdiri dari nama, tempat dan tanggal lahir, gelar, tanggal diangkat menjadi calon pegawai negeri sipil (CPNS), serta tanggal diangkat menjadi PNS.

Ada pula informasi nomor identitas pegawai, nomor surat keputusan (SK) CPNS, nomor SK PNS, golongan, jabatan, instansi, alamat, nomor identitas, nomor ponsel, email, pendidikan, dan tahun lulus.

"Selain data tersebut masih banyak lagi data lainnya, baik yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi," kata Pratama kepada Kompas.com, Sabtu malam.

Masih dari unggahan yang sama, Pratama mengungkap, peretas menawarkan seluruh data tersebut dengan harga 10.000 dollar AS atau sekitar Rp 160 juta.

Peretas juga membagikan sampel data berisi informasi 128 ASN yang bekerja di berbagai instansi di Provinsi Aceh.

"CISSReC sudah melakukan verifikasi secara random (acak) pada 13 ASN yang namanya tercantum dalam sampel data melalui WhatsApp, dan menurut mereka data tersebut adalah valid," papar Pratama.

Namun demikian, beberapa orang menginformasikan, ada kesalahan penulisan digit terakhir pada NIP dan nomor induk kependudukan (NIK) yang tercantum.

Baca juga: Media Sosial Nurul Akmal Dibanjiri Komentar: Terima Kasih Kak, Kami Bangga

Sebagai informasi, pada 3 Oktober 2022, BKN sendiri sudah melakukan MoU atau nota kesepahaman dengan Badan Siber dan Sandi Negara (BSSN). Perjanjian pendahuluan tersebut bertujuan memperkuat data ASN serta meningkatkan kualitas perlindungan informasi dan transaksi elektronik.

Namun, MoU hanya berlaku selama satu tahun dan telah berakhir pada Oktober 2023. Pun, belum diketahui apakah BKN memperpanjang MoU dengan BSSN atau tidak.

Pratama berujar, pemerintah perlu membentuk Badan Perlindungan Data Pribadi agar dapat mengambil tindakan serta memberikan sanksi kepada penyelenggara sistem elektronik (PSE) yang mengalami insiden kebocoran data.

Tidak hanya itu, penting juga untuk membuat regulasi yang memuat konsekuensi hukum tegas bagi PSE yang tidak mampu menjaga sistemnya, baik PSE publik maupun privat.

"Karena jika tidak, maka PSE tersebut tidak akan jera dan akan memperkuat sistem keamanan siber serta SDM yang dimiliki," kata Pratama.

Dia menambahkan, sudah saatnya semua kementerian dan lembaga pemerintah wajib melakukan assessment atau penilaian sistem teknologi informasi (IT) secara menyeluruh.

Dengan demikian, instansi dapat melihat keamanan sistemnya layaknya peretas melihat sistem dari luar sana.

"Sehingga bisa segera mengetahui celah keamanan yang mungkin ada di sistemnya dan segera menutup celah keamanan tersebut sebelum dimanfaatkan oleh peretas sebagai pintu masuk ke sistem," ungkapnya.

Assessment juga sebaiknya dilakukan rutin dan tak hanya satu kali, mengingat keamanan sistem informasi bukanlah sebuah hasil akhir yang tidak akan berubah.

"Apa yang kita yakini aman pada saat ini belum tentu masih akan tetap aman pada keesokan harinya," pungkasnya.(*)