Pakar siber dari CISSERrec, Pratama Pershada, memaparkan cara mengetahui apakah data pribadi seseorang bocor dan beredar di forum peretas atau dark web. Ia juga menyampaikan sejumlah langkah yang dapat dilakukan untuk memproteksi akun dan data ketika kebocoran sudah terlanjur terjadi.

Isu kebocoran data kembali mencuat setelah data 279 juta penduduk Indonesia diduga bocor dan dijual di forum peretas Raid Forums pada 12 Mei 2021. Berdasarkan pantauan, data tersebut diunggah oleh akun bernama kotz.

Dalam deskripsinya, akun itu menyebut data yang dimilikinya mencakup nama lengkap, KTP, nomor telepon, email, NID, dan alamat. Akun tersebut juga menyediakan 1 juta data sampel secara gratis untuk diuji dari total 279 juta data yang diklaim tersedia.

Akun itu turut mengklaim terdapat 20 juta data foto pribadi di dalam kumpulan data tersebut. Dari 279 juta data yang ramai diperbincangkan, Kementerian Komunikasi dan Informatika (Kominfo) menyatakan menemukan kurang dari 1 juta di antaranya yang diduga kuat berasal dari data BPJS Kesehatan yang bocor.

Pratama menjelaskan, apabila data pribadi yang bocor dipublikasikan di forum peretas atau dark web, masyarakat dapat mengeceknya menggunakan sejumlah situs pemeriksa kebocoran data. Situs-situs tersebut, kata dia, memiliki basis data berisi miliaran data yang sudah bocor untuk membantu pengguna mengetahui apakah akun online mereka pernah terdampak kebocoran sebelumnya.

Untuk pengecekan, Pratama menyebut beberapa layanan yang dapat digunakan, antara lain Monitor Firefox, avast.com, haveibeenpwned, serta www.periksadata.com yang disebutnya dibuat oleh pihak dalam negeri. Ia menilai pengecekan di situs-situs tersebut relatif aman dan dapat dipertanggungjawabkan karena menggunakan basis data yang sudah tersebar di dark web dan forum internet.

Menurut Pratama, berbagai kasus kebocoran data sebelumnya, termasuk yang terkait marketplace seperti Tokopedia, Bukalapak, dan Bhinneka, telah tercatat dalam basis data layanan pemeriksa tersebut. Namun, ia menekankan kondisi akan berbeda jika kebocoran tidak dipublikasikan, tidak diperjualbelikan, dan tidak disebarkan di forum peretas atau dark web. Dalam situasi seperti itu, kata dia, masyarakat pada dasarnya tidak akan mengetahuinya dan perlu tetap berhati-hati dalam menjaga data pribadi.

Ia menambahkan, ketika data diserahkan kepada penyelenggara sistem dan transaksi elektronik (PSTE) atau instansi pemerintah, pengguna pada prinsipnya hanya bisa berharap data tersimpan aman. Ia juga menyoroti belum adanya undang-undang terkait data pribadi di Indonesia yang melindungi data masyarakat, baik online maupun offline, yang menurutnya sangat dinantikan kehadirannya.

Meski demikian, Pratama menyebut masih ada langkah yang bisa dilakukan jika data pribadi sudah diketahui bocor. Ia mengatakan masyarakat dapat mengamankan data pribadi sendiri, bahkan sebelum penyedia layanan—baik swasta maupun negara—mampu mengamankan data pengguna yang bocor.

Langkah yang disarankan antara lain mengganti kata sandi dengan yang kuat, mengaktifkan autentikasi dua faktor (two factor authentication), memasang antivirus di setiap perangkat yang digunakan, tidak menggunakan WiFi gratis, serta tidak membuka tautan yang tidak dikenal atau mencurigakan, ditambah pengamanan standar lainnya.

Namun, Pratama menegaskan jika kebocoran berasal dari pihak PSTE, korban memiliki ruang gerak yang terbatas. Menurutnya, dalam kondisi tersebut masyarakat hanya bisa menjadi korban ketika data pribadi sudah terlanjur diambil pihak lain.