Terperosok Berulang di Lubang Serupa

“Sehingga kami menduga memang ada kebocoran sistem sebelumnya atau terdapat kesalahan pada sumber daya manusianya,” ujar Ruby.

Pakar keamanan siber Alfons Tanujaya menguatkan pendapat Ruby. Alfons mengatakan kebocoran data pemilih ini menunjukkan bahwa KPU tak belajar dari pengalaman terdahulu. Dengan demikian, penyelenggara pemilu itu terperosok di lubang yang sama berkali-kali.

Ia mengatakan KPU memang memiliki tanggung jawab besar karena harus menjaga database DPT yang sangat besar. Tapi KPU memakai database standar, yaitu structured query language (SQL), untuk mengamankan data jumbo tersebut. SQL adalah bahasa pemrograman yang digunakan untuk mengakses data dalam basis data relasional.

“SQL memang diketahui andal, tapi sudah jadi rahasia umum (SQL) itu banyak kelemahan dan celahnya,” kata Alfons, kemarin.

Akun anonim Jimbo mengklaim sudah meretas data pemilih dalam Pemilu 2024 milik KPU sejak Senin lalu. Peretas lantas menjual sebanyak 252 juta data pemilih di Breach Forum—situs web jual-beli data—dengan harga US$ 74 ribu atau setara dengan Rp 1,1 miliar. Peretas juga membuka 500 ribu data pemilih sebagai contoh di Breach Forum.

Data pemilih itu terdiri atas nama lengkap, nomor induk kependudukan (NIK), nomor kartu keluarga (NKK), nomor kartu tanda penduduk (paspor), tempat pemungutan suara (TPS) pemilih, status difabel, jenis kelamin, tempat dan tanggal lahir pemilih, status perkawinan, serta alamat pemilih.

Suasana rapat terbuka rekapitulasi daftar pemilih tetap Pemilu 2024 di gedung KPU, Jakarta, 2 Juli 2023. TEMPO/M. Taufan Rengganis

Kasus serupa terjadi tiga tahun lalu. Ketika itu, akun Twitter @underthebreach mengklaim sudah meretas data pemilih pada Pemilu 2014 milik KPU. Data itu dalam bentuk portable document format (PDF), yang di dalamnya berisi 2,3 juta data pemilih. Data pemilih tersebut terdiri atas nama lengkap, NKK, NIK, tempat dan tanggal lahir, alamat rumah, serta informasi pribadi lainnya.

Komisioner KPU saat itu, Viryan Aziz, mengatakan data DPT yang bocor di media sosial tersebut bukan hasil peretasan situs web KPU. Ia menduga data pemilih yang bocor berasal dari pihak ketiga. Alasannya, pemegang data pemilih bukan hanya KPU, tapi juga Badan Pengawas Pemilu, partai politik peserta pemilu, dan pemerintah.

"Meskipun itu data lama dan bukan dari KPU, dari formatnya dimungkinkan data yang diterima oleh pihak eksternal," kata Viryan pada 22 Mei 2020.

Alasan serupa disampaikan Ketua KPU periode 2022-2027, Hasyim Asy'ari, mengenai kebocoran data pemilih kali ini. “Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT softcopy kepada partai politik peserta Pemilu 2024 dan Badan Pengawas Pemilu,” kata Hasyim lewat keterangan tertulis, Rabu kemarin.

Ketua Badan Pengawas Pemilu Rahmat Bagja dan anggota Bawaslu, Puadi serta Lolly Suhenty, belum merespons permintaan konfirmasi Tempo mengenai pengawasan mereka atas kebocoran data pemilih tersebut. Adapun Lembaga Studi dan Advokasi Masyarakat (Elsam) menduga data pemilih yang diperdagangkan di Breach Forum itu milik KPU. Direktur Elsam Wahyudi Ja’far mengatakan hasil analisis lembaganya terhadap sampel data pemilih di Breach Forum itu identik dengan DPT milik KPU. 

“Dugaannya Sidalih KPU (aplikasi milik KPU yang berisi data DPT) yang bocor,” kata Wahyudi. 

Juru bicara Partai Keadilan Sejahtera, Ahmad Mabruri, meminta KPU tidak melempar kesalahan kebocoran data pemilih tersebut ke partai politik. “Ya, tanggung jawab tetap di KPU,” kata Ahmad. 

Komisioner KPU periode 2012-2017, Hadar Nafis Gumay, berharap KPU jujur dan bisa memastikan pemilik data pemilih yang diperdagangkan di situs web jual-beli online tersebut. Sebab, “Pada dasarnya partai politik dan pengawas pemilu juga diberi data pemilih oleh KPU,” kata Hadar.

Simulasi pemungutan suara di kantor KPU, Jakarta, 22 Maret 2022. Dok TEMPO/Muhammad Hidayat

Terkatung-katung Pembentukan Lembaga PDP

Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet) Damar Juniarto menyayangkan kebocoran data pemilih yang berulang ini. Ia mengatakan kebocoran terbaru data pemilih ini akan menunjukkan semakin lemahnya keamanan siber di Indonesia.

Damar mengutip catatan Laporan National Cyber Security Index (NCSI) bahwa skor indeks keamanan siber Indonesia sebesar 38,96 poin pada rentang penilaian 0-100 poin pada 2022. Angka tersebut menempatkan Indonesia di peringkat ke-3 terendah di bidang keamanan siber di antara negara-negara anggota G20. 

“Artinya, kemampuan Indonesia dalam melindungi data pribadi memang masih jauh dari baik,” kata Damar, kemarin.

Ia melanjutkan, Pasal 35 dan 36 Undang-Undang Pelindungan Data Pribadi (UU PDP) sesungguhnya sudah mengatur cara pengamanan data dan kewajiban merahasiakan data pribadi. “Kalau kedua pasal ini dipatuhi, kemampuan lembaga negara untuk melindungi data pribadi dapat meningkat,” katanya. 

Damar mendesak pemerintah segera membentuk lembaga pelindung data pribadi karena organisasi ini yang akan menjadi penyelenggara pelindungan data. Sesuai dengan Pasal 58 UU PDP, presiden wajib menetapkan lembaga penyelenggara pelindungan data pribadi. Pembentukan otoritas ini paling lambat dua tahun sejak aturan itu diundangkan pada 17 Oktober 2024.

EKA YUDHA SAPUTRA | ANDI ADAM FATURAHMAN | AHMAD FAIZ IBNU SANI | ANT