Data Nasabah KreditPlus Bocor, Kominfo dan BSSN Harus Sering Blusukan

Chairman lembaga riset keamanan siber CISSReC, Pratama Persadha.
Sumber :
  • Dokumen CISSReC

VIVA – Kementerian Komunikasi dan Informatika (Kominfo) telah meminta klarifikasi dan laporan dari manajemen startup fintech KreditPlus atas dugaan pencurian data yang mengakibatkan kebocoran data nasabah, sekaligus mengambil langkah yang diperlukan untuk menjamin keamanan data pribadi penggunanya.

Kemudahan Beli Mobil di Platform Online, Banyak Promo Menarik

Direktur Jenderal Aplikasi Informatika Kominfo Semuel Abrijani Pangerapan mengaku telah mengirimkan surat ke KreditPlus. "Kami sudah bersurat ke Kreditplus untuk mengklarifikasi hal itu sekaligus melaporkan ke Kominfo terkait isu kebocoran ini," katanya di Jakarta, Selasa, 4 Agustus 2020.

Kreditplus sendiri diduga mengalami kebocoran data saat data yang diduga miliknya muncul di RaidForums, situs jual-beli data ilegal. Sebanyak 896 ribu data pribadi pengguna Kreditplus yang berisikan nama, KTP, email, status pekerjaan, alamat, data keluarga penjamin pinjaman, tanggal lahir, nomor telepon, diduga bocor ke tangan peretas atau hacker.

SBY Minta Prabowo Perbaki Sistem Pemilu: Politik Uang Makin Menjadi, Lampaui Batas Kewajaran!

Semuel juga mengingatkan, sebagai Penyelenggara Sistem Elektronik (PSE), KreditPlus memiliki kewajiban memenuhi Standar Pelindungan Data Pribadi yang dimuat dalam Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, serta Peraturan Menkominfo Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik.

"Kami mengimbau masyarakat tetap menjaga keamanan akun masing-masing. Masyarakat sebaiknya rutin mengganti password dan tidak mudah percaya dengan pihak lain yang meminta password maupun kode one time password (OTP)," tuturnya.

Revisi UU ITE Disahkan, Privy Siap Amankan Transaksi Keuangan Digital

Berkaitan sama kode OTP, Semuel menegaskann bahwa setiap orang wajib menyadari dan menjaga kerahasiaannya. Menurutnya, kode OTP tidak pernah diminta oleh orang, melainkan hanya oleh mesin.

Seringkali masyarakat belum memahami bagaimana menjaga kerahasiaan data. Jika ada orang yang meminta, maka bisa dipastikan termasuk ke dalam kategori penipuan. Ia juga menjelaskan, apabila masyarakat tidak setuju dengan syarat atau kebijakan suatu aplikasi dalam melindungi data pribadi, maka jangan menggunakan aplikasi tersebut.

Pada kesempatan terpisah, pakar keamanan siber dari CISSReC, Pratama Persadha, mendorong supaya Kominfo dan Badan Siber dan Sandi Negara (BSSN) sering-sering blusukan untuk melakukan edukasi.

Menurutnya, pelaksana Sistem dan Transaksi Elektronik harus dipastikan membangun sistem yang baik. Khususnya untuk melindungi data pribadi nasabah atau pelanggan platform.

Selain itu dari sisi pengguna platfom, Pratama menyarankan juga melakukan proteksi sendiri. Beberapa diantaranya dengan membuat password yang baik dan kuat serta mengaktifkan two-factor authentication.

“Sebelum pemilik layanan bisa mengamankan data pribadi penggunanya, kita juga harus bisa mengamankan data pribadi kita sendiri. Misalnya, buat password yang baik dan kuat, aktifkan two-factor authentication. Pasang antivirus di setiap gawai yang digunakan, jangan menggunakan wifi gratisan, jangan membuka link yang tidak dikenal dan mencurigakan," kata Pratama, mengingatkan.

Ia pun merujuk kepada belum adanya aturan yang memaksa penyedia layanan serupa untuk mengamankan data masyarakat Indonesia secara maksimal. Percepatan pembahasan RUU Perlindungan Data Pribadi juga harus dilakukan.

Dengan adanya aturan tersebut membuat penyedia jasa layanan yang tidak mengamankan data penggunanya bisa dituntut dan dibawa ke pengadilan, hal yang sama juga telah dilakukan dalam regulasi perlindungan data pribadi masyarakat Uni Eropa dalam General Data Protection Regulation (GDPR).

“Hal serupa ada di regulasi perlindungan data pribadi bagi warga Uni Eropa. Setiap data yang dihimpun harus diamankan dengan enkripsi. Bila terbukti lalai, maka penyedia jasa sistem elektronik bisa dikenai tuntutan sampai 20 juta euro. Bisa dibayangkan bila KreditPlus ini ada di luar negeri. Mereka bisa dikenai pasal kelalaian dalam GDPR," ungkapnya.

Sebagai informasi, pengguna Twitter @secgron mencuitkan jika ada 896 ribu data pribadi pengguna KreditPlus yang dijual. Data tersebut terdiri dari nama, KTP, email, password, alamat, nomor ponsel, data pekerjaan, dan data keluarga penjamin.

Halaman Selanjutnya
Halaman Selanjutnya