JAKARTA - Kebocoran data pribadi pengguna aplikasi pemerintah atau lembaga negara kembali terjadi. Kali ini eHAC atau Electronic Health Alert Card milik Kementerian Kesehatan (Kemenkes). Diperkirakan ada 1,3 juta data pribadi pengguna yang bocor. Mari dalami persoalan data pribadi.
eHac adalah aplikasi Kemenkes yang berfungsi untuk menelusuri orang-orang yang datang ke Indonesia di masa pandemi COVID-19. Kasus kebocoran data pribadi ini pertama kali dilaporkan VPN Mentor, sebuah situs yang fokus pada keamanan virtual private network (VPN).
Kementerian Komunikasi dan Informatika (Kemkominfo) menyatakan tengah melakukan investigasi. "Sedang kami lakukan investigasi," kata Juru Bicara Kemkominfo Dedy Permadi, dikutip dari Antara, Selasa, 31 Agustus.
Kepala Pusat Data dan Informasi Kemenkes Anas Ma'ruf merespons dugaan kebocoran data pribadi pengguna eHAC dengan meminta masyarakat menghapus atau meng-uninstall aplikasi tersebut. Ia juga mengatakan eHAC sudah nonaktif sejak 2 Juli lalu dan digantikan PeduliLindungi.
"Pemerintah meminta kepada masyarakat untuk menghapus atau men-delete atau uninstall aplikasi eHAC yang lama, yang terpisah (dari aplikasi PeduliLindingi)," kata Anas dalam konferensi pers virtual, Selasa, 31 Agustus.
"Sistem yang ada dalam PeduliLindungi, dalam hal ini eHAC berbeda dengan sistem eHAC yang lama. Jadi saya tegaskan sistem yang ada di eHAC yang lama berbeda dengan sistem eHAC yang berada di dalam PeduliLindungi. Insfratrukturnya berbeda," jelas Anas.
Anas menduga kebocoran data pribadi terjadi di pihak mitra. "Dan ini sudah diketahui oleh pemerintah. Saat ini pemerintah melakukan tindakan pencegahan serta melakukan upaya lebih lanjut dengan melibatkan Kominfo dan pihak berwajib terkait amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik," kata Anas.
Apa itu data pribadi dan contohnya?
Sebagaimana dijelaskan dalam artikel TULISAN SERI berjudul Kita adalah Data Pribadi yang Diperjualbelikan, sangat penting bagi kita menanamkan pemahaman bahwa kita semua pada dasarnya adalah data pribadi, terutama dalam dimensi digital.
Pertama, kita adalah data dasar. Kedua, kita sebagai data kredensial. Ketiga, kita sama dengan data finansial. Yang dimaksud data dasar adalah Nomor Induk Kependudukan (NIK), informasi Kartu Keluarga (KK) --nama, tanggal lahir, nama ibu kandung, dan seterusnya.
[TULISAN SERI: Tiada Privasi untuk Data Pribadi]
Data kredensial meliputi akun digital surel, media sosial, hingga akses ke aplikasi dan layanan digital yang kita gunakan sehari-hari. Dalam konteks aktivitas digital, data kredensial inilah yang jadi komoditi utamanya.
Lalu, data finansial, yang meliputi data rekening, autentikasi pin, dan informasi pribadi lain yang terkait dengan akses keuangan kita, baik online maupun offline. Pakar keamanan siber, Alfons Tanujaya menjelaskan bahwa semua data itu adalah komoditi yang bisa dimonetisasi.
"Jadi sekarang yang paling berharga itu di dunia e-commerce itu ya credential. Kedua, data finansial. Duit, rekening, otentifikasi pin, dan sejenisnya ... Ada faktor ekonomi. Motivasi ekonomi di belakangnya yang melatarbelakangi kenapa data seperti ini diincar," tutur Alfons.
Apa risiko dari kebocoran data pribadi?
Kita adalah data. Data adalah komoditi. Maka data pribadi pada dasarnya dapat dimonetisasi oleh pihak yang menguasai. Dalam konteks pencurian atau pembobolan data pribadi, pelaku biasanya menghimpun data tersebut untuk kemudian dijual kembali secara ilegal. Skema monetisasinya macam-macam dan menimbulkan kerugian yang juga berbeda-beda bagi pemilik data pribadi.
Associate Professor Department of Communication Science Universitas Gadjah Mada Novi Kurnia, dalam tulisannya di The Conversation menjelaskan secara umum ada empat risiko dari kebocoran data pribadi. Pertama, data pribadi dapat dimanfaatkan untuk membobol rekening keuangan. Data Tempo mencatat setidaknya enam kasus pembobolan rekening bank sejak Januari hingga April tahun ini. Kerugian diperkirakan mencapai Rp57 miliar.
Dalam konteks ini biasanya pelaku pencurian data pribadi mengelabui korban dengan mengirim surel beserta pesan yang memancing korban membeberkan data pribadi serta informasi layanan bank di satu lampiran. Tak cuma rekening bank. Modus ini juga bisa dimanfaatkan pelaku untuk membobol dompet digital macam GoPay atau OVO. Jika pelaku memiliki nomor pengguna ia akan mengirim pesan palsu yang memancing pengguna membeberkan kode OTP (one time password).
[TULISAN SERI: Tiada Privasi untuk Data Pribadi]
Kedua, kebocoran data pribadi juga bisa dimanfaatkan untuk melakukan penipuan pinjaman online (pinjol) ilegal. Modus paling umum, pelaku akan berpura-pura sebagai pemilik data pribadi untuk meminjam uang. Yang kena getah nantinya si pemilik data pribadi, yang harus membayar pinjaman beserta bunga yang dinikmati pelaku. Ketiga, jika data pribadi yang bocor berbentuk data kependudukan atau media sosial, hal itu bisa digunakan untuk memetakan profil pemilik data.
Pemanfaatannya macam-macam, bisa untuk kepentingan politik atau penyusupan iklan di media sosial. Dalam konteks politik, pemilik data pribadi bisa jadi sasaran disinformasi sesuai preferensi politiknya. Kita tahu kasus besar di 2018 yang melibatkan Cambridge Analytica yang menyalahgunakan data pribadi 87 juta pengguna Facebook untuk kepentingan politik, termasuk dalam upaya pemenangan Donald Trump pada Pemilu AS 2016.
Keempat, masih dalam dimensi media sosial, peretasan data pribadi bisa menjadi modus pemerasan online. Salah satunya adalah pemerasan seksual alias sextortion. Ini biasa terjadi ketika pemilik data melakukan video call sex (VCS) atau percakapan seksual. Materi audio atau visual itu bisa disimpan dan digunakan untuk memeras pemilik data. Tak cuma itu. Materi yang diunggah di perangkat digital, termasuk cloud pun dapat diretas dan memicu sextortion.
Siapa kuasai data pribadi? Bagaimana simulasi dalam aktivitas digital?
Perang asimetris antara Amerika Serikat (AS) dan China soal data pribadi tiba-tiba jadi begitu terbuka. Presiden AS Donald Trump terang-terangan melarang aplikasi berbagi video buatan China, TikTok. Trump khawatir aplikasi besutan ByteDance jadi alat China mengumpulkan data pribadi warga AS untuk disuplai ke Partai Komunis China.
TikTok merespons resistensi ini. Mereka mengumumkan komitmen kepada pengguna dan regulator untuk memberlakukan transparansi tingkat tinggi, termasuk akan memberi izin bagi pihak yang ingin melakukan pemeriksaan terhadap algoritma mereka. "Kami tidak politis. Kami tidak menerima iklan politik dan tidak punya agenda."
"Tujuan kami adalah terus menjadi platform yang hidup dan dinamis untuk dinikmati semua orang. TikTok telah menjadi target terbaru (politisasi). Tapi kami bukan musuh," kata CEO TikTok Kevin Mayer, dikutip dari BBC.
Kisruh di atas penting untuk menggambarkan betapa nyata risiko pencurian data pribadi. Kita tengok kebiasaan kita, apa yang paling sering kita akses? Google, misalnya. Apa saja yang bisa dikumpulkan Google dari aktivitas digital kita sehari-hari?
Merujuk artikel TULISAN SERI berjudul Siapa Penguasa Data Pribadi dan Mengapa Penting Menguasainya? Google mungkin telah mengumpulkan lebih banyak data pribadi kita dalam kadar yang mungkin tak pernah kita sadari. Algoritma Google mencatat setiap pencarian yang kita lakukan, memantau video YouTube yang kita tonton, hingga merekam pergerakan kita.
Setiap lokasi bepergian yang kita lakukan, Google akan mengetahui dan merekamnya, memunculkan pola rute mana yang paling sering kita lalui, berapa lama kita tinggal di suatu tempat, bahkan ketika kita tak pernah membuka aplikasi tersebut.
Ini kenyataan yang perlu kita hadapi, meski menurut CNET, Google telah memperbaiki caranya menyimpan dan mengelola data pengguna. Akun Google yang terdaftar per Juni 2020 konon bisa secara otomatis menghapus data pribadi penggunanya.
Itu pun hanya setelah 18 bulan digunakan. Sementara, pengguna akun Google sebelum Juni, yang jumlahnya mencapai 1,5 miliar pengguna Gmail atau 2,5 miliar pengguna Android, datanya akan tertanam selamanya di server Google, kecuali jika pengguna hendak menghapusnya.
Terdapat banyak data yang bisa Google peroleh. Di antaranya, nama kita, tanggal lahir, jenis kelamin, alamat surel, kata sandi akun-akun digital, hingga nomor telepon. Google bahkan dapat melakukan identifikasi wajah kita. Beberapa di antaranya terdaftar sebagai informasi publik.
Google juga dapat mencatat data aktivitas daring, seperti saat kita berselancar di mesin pencari maupun ketika sedang menonton video YouTube. Apabila kita sadar akan keamanan datanya tapi tetap menginginkan layanan Google mempersonalisasi hasil dari layanannya seperti pada mesin pencarian, disarankan untuk mengatur data supaya dihapus secara otomatis setelah tiga bulan.
Jika tidak, jangan ragu untuk menghapus semua data dan mengatur Google untuk berhenti melacak. Memang, untuk sebagian besar hal sehari-hari yang kita lakukan dengan Google tak akan tampak perbedaannya.
Namun, bila digunakan secara berkala, maka Google bisa mengetahui segala kebiasaan kita. algoritma Google bahkan dapat mengetahui hal apa yang sedang kita inginkan, seperti tujuan liburan hingga klub sepak bola kesukaan kita.
Dan ketepatan Google mengetahui keberadaan kita bisa sangat mengerikan, bahkan ketika kita tak melakukan apa pun pada ponsel kita. Jika Anda masuk ke Google Maps di perangkat seluler, mata Google mengawasi setiap gerakan Anda.
Andai pun kita telah mengatur Google untuk tidak melacak aktivitas daring atau luring kita, bukan berarti akses Google kepada data pribadi kita telah terputus sepenuhnya. Google nyatanya tetap bisa melacak lokasi fisik kita bahkan jika kita mematikan layanan lokasi.
Google tetap bisa mengakses data kita, informasi yang mereka kumpulkan dari jaringan Wi-Fi dan sinyal nirkabel lain yang terhubung ke perangkat kita. Bahkan Google tak perlu menunggu kita login terlebih dulu untuk bisa melacak kita.
Maka kesadaran-kesadaran kita bahwa tak ada privasi terhadap data pribadi kita jadi amat penting. Kita perlu lebih berhati-hati dalam aktivitas digital. Cara paling awal bisa dengan meningkatkan kewaspadaan kita soal syarat dan ketentuan ketika meng-install sebuah aplikasi, terutama yang gratis. Ingat, tak ada makan siang gratis.
"There is a price to pay. Kalau produk gratis, kita harus hati-hati ... Bisa jadi kita produknya. User itu produknya. Jadi kamu harus hitung-hitung sendiri," kata pakar keamanan siber, Alfons Tanujaya, dihubungi VOI.
*Ikuti Informasi lain soal PELINDUNGAN DATA PRIBADI atau baca tulisan menarik lain dari Diah Ayu Wardani, Detha Arya Tifada, Putri Ainur Islam, Ramdan Febrian dan Yudhistira Mahabharata.
BERNAS Lainnya
BACA JUGA:
-
| BERNAS
Learning Loss dan Ancaman Lain yang Mengharuskan Anak Kembali ke Sekolah
30 Agustus 2021, 19:30
Terkait
