Kesimpulannya, meski – sementara – baru data internal INAFIS yang dibocorkan dan dijual di DarkWeb, namun kalau melihat apa-apa yang sudah disusupi okeh MoonzHaxor tersebut akan bisa sampai ke BigData penduduk Indonesia yang terekam detail di dalamnya.

Oleh: KRMT Roy Suryo, Pemerhati Telematika, Multimedia, AI dan OCB Independen

KEMARIN saya masih wanti-wanti bahwa kekalahan Data Indonesia – yang diwakili Kemkominfo – dengan Hattrick 0-3 (Situs HoaX Ela Elo, Blunder Ucapan Ultah JokoWi ke-63 yang disebut Netizen mirip Duka Cita dan Lumpuhnya PDNs selama berhari-hari) akan bisa terjadi lagi dan membuat 0-4 (Quattrick).

Setelah menduga-duga apa yang akan terjadi lagi dengan H2C (Harap-harap cemas, bukan H2SO4/ Asam Sulfat alias SamSul, akhirnya kekhawatiran tersebut terjawab sudah melalui Postingan Akun centang biru di X/Twitter FalcoonFeeds.io @FalconFeedsio beberapa jam lalu.

Di postingan Akun yang memiliki follower sebanyak 31,5 rb dan kerapkali menampilkan aktivitas di DarkWeb tersebut, Minggu dini hari semalam (23/06/24) dia menulis bahwa telah terjadi Hacking (eretasan) terhadap INAFIS (Indonesia Automatic Fingerprint Identification System – Sistem Identifikasi Sidik Jari Otomatis Indonesia).

Ini gawat dan tidak bisa dianggap sederhana, karena data-data sidik jari adalah sangat pribadi dan wajib dirahasiakan, bukan untuk dipublikasikan apalagi diobral secara terbuka. Mengapa saya sebut "obral"? Karena kali ini harga yang ditawarkan (hanya) senilai US$ 1000 alias Rp 16,5 juta Rupiah. Nilai ini tentu justru bermaksud untuk meledek bagaimana murahnya data-data di Indonesia, bukan soal keuntungan ekonominya

"MoonzHaxor, anggota BreachForums, telah mengunggah pelanggaran data signifikan yang melibatkan Sistem Identifikasi Sidik Jari Otomatis Indonesia (INAFIS). Pelanggaran ini mencakup data sensitif seperti gambar sidik jari, email, dan aplikasi SpringBoot dengan properti konfigurasi. Postingan tersebut juga menyoroti tawaran untuk menjual data yang disusupi ini seharga $1000," demikian yang ditulis oleh Akun FalcoonFeeds.io @FalconFeedsio.

Jadi sangat jelas bahwa dalam BreachForums, telah ditawarkan data-data tersebut oleh pihak yang bernama "MoonzHaxor" secara terbuka, lengkap dengan harga dan penjelasan bagian-bagian mana yang disusupinya.

Dia menyebutkan juga beberapa file yang disusupi MoonzHaxor adalah: 1. Wajah Anggota INAFIS (PNG) dengan email, 2. Sidik Jari Anggota INAFIS (WSQ) dengan email, 3. Aplikasi SpringBoot INAFIS (JAR) dengan properti konfigurasi database.

Meski saat ini belum disebut apakah data-data yang disusupi tersebut termasuk database penduduk Indonesia yang dimiliki oleh INAFIS, saya khawatir ini hanya masalah waktu saja. Sebab biasanya kalau sudah mulai diumumkan "terbuka" di DarkWeb begini, maka persis seperti kasus kebocoran data BPJS dan Paspor sebelumnya, pasti akan bocor juga.

Setelah Sistem Imigrasi dibuat kalangkabut dengan "down" dari PSNs (Pusat Data Nasional sementara) kemarin dan Kemkominfo tampak Ela Elo alias hanya "Ngah Ngoh" (Plonga plongo) berhari-hari, mengapa kali ini INAFIS yang dibocorkan? Karena INAFIS merupakan pelaksana teknis di bidang identifikasi yang berada di bawah Badan Reserse Kriminal atau Bareskrim Polri.

Jadi "pesan" yang disampaikan di DarkWeb ini sangat strategis dan menohok. Karena tugas-tugas INAFIS termasuk membina dan menyelenggarakan fungsi identifikasi untuk mendukung penyidikan dan penegakan hukum.

Lebih jauh lagi PusINAFIS (Pusat INAFIS) memiliki fungsi: Pemeriksaan teknis TKP, Pemeriksaan terhadap barang bukti dan manusia sesuai dengan bidang atau bagian dalam rangka pembuktian secara ilmiah pada proses penyidikan dan penegakan hukum, baik pada tingkat pusat maupun kewilayahan.

Secara garis besar, peran INAFIS dapat dibagi menjadi dua, yaitu dalam segi penegakan hukum dan pelayanan terhadap masyarakat. Dari segi penegakan hukum, peran tim INAFIS dapat dilihat dalam proses identifikasi atau pengungkapan pelaku dalam suatu kasus, identifikasi terhadap korban tanpa identitas, pelacakan Daftar Pencarian Orang (DPO), pencekalan tersangka yang akan keluar atau masuk Indonesia, hingga mencegah dokumen palsu.

Sementara dalam segi pelayanan, INAFIS dapat terlibat dalam mengidentifikasi orang yang hilang, mengidentifikasi korban kecelakaan atau bencana alam, dan lain-lain. Salah satu aturan mengenai INAFIS tertuang dalam Peraturan Kapolri (Perkap) Nomor 5 Tahun 2019 tentangg Perubahan Atas Perkap Nomor 6 Tahun 2017 tentang Susunan Organisasi dan Tata Kerja Satuan Organisasi Pada Tingkat Mabes Polri.

Sehingga dari fungsi, tugas dan Bigdata yang dimiliki INAFIS ini bisa diperolehkan data-data spesifik dari semua masyarakat Indonesia, yang memang sesuai dengan kegunaannya bisa dipakai untuk pengungkapan kasus berdasarkan bukti Identifikasi ilmiah atau Scientific Identification yang kini sedang dikembangkan.

Masalahnya, meskipun sudah jelas-jelas ada pengumuman terbuka terjadi kebocoran di INAFIS di atas, apakah Kemkominfo – selaku Penanggungjawab PDNs – akan mengakui dan bertanggung-jawab?

Saya khawatir, karena berdasarkan pengalaman kebocoran data BPJS dan Paspor sebelumnya, pihak-pihak yang bertanggungjawab tersebut malah bisa enaknya "ngeles" dengan mengatakan bahwa "kebocoran bukan berasal dari pihak kami" dan menyebut data-data tersebut bisa diperoleh di mana saja.

Kita juga tidak pernah mendengar ada pihak-pihak yang disanksi apalagi dituntut atas kebocoran-kebocoran tersebut sebelumnya, karena di sini – sebagaimana komentar Netizen – kebocoran adalah hal yang biasa, bahkan tidak aneh kalau tidak bocor, katanya.

Ironisnya, Indonesia sampai-sampai disebut sebagai "Negara Open Source sampai se data-data pribadi penduduknya" karena meski sudah punya UU Perlindungan Data Pribadi Nomor 24 Tahun 2022 yang di dalamnya jelas-jelas tertulis Apa-apa yang bersifat data pribadi, cara mengelolanya sampai kepada sanksi hukum untuk pihak-pihak yang membocorkannya, tampaknya UU tersebut seperti "Pepesan Kosong" saja.

(Kata "Pepesan Kosong" ini mengingatkan kita pada Prof yang ditunjuk jadi Ahli KPU di Sidang MK yang juga mengatakan bahwa SIREKAP juga hanya "Pepesan Kosong", padahal secara de facto digunakan untuk menghitung Hasil Pemilu 2024 lalu). Artinya semua omon-omon saja, alias tidak ada gunanya?

Kesimpulannya, meski – sementara – baru data internal INAFIS yang dibocorkan dan dijual di DarkWeb, namun kalau melihat apa-apa yang sudah disusupi oleh MoonzHaxor tersebut akan bisa sampai ke BigData penduduk Indonesia yang terekam detail di dalamnya.

Jelas ini bukan merupakan hal yang sepele dan sederhana, harus disikapi serius dan tidak boleh lagi hanya ditanggapi dengan Ela Elo alias Plonga Plongo saja. Hancur Indonesia bila data-data (yang kemarin dikatakan "New Oil" dan berharga sangat mahal) ini diobral murah begitu saja, semurah Hati Nurani dan Etika yang kemarin pada Pemilu 2024 sudah bukan lagi merupakan hal utama.

Ini sudah kalah Quattrick 0-4, akankah dibiarkan terus menjadi kalah Glut 0-5, Double Hattrick 0-6 bahkan seterusnya? (*)