Polisi Tangkap Seorang Guru Honorer Tersangka Penjual Data ASN

POS-KUPANG.COM, JAKARTA - Direktorat Tindak Pidana Siber Badan Reserse Kriminal Polri menangkap tersangka penjual data aparatur sipil negara (ASN) milik Badan Kepegawaian Negara di Breachforums, berinisial BAG.

Pelaku yang merupakan guru honorer itu menggunakan username dan password yang didapatkan melalui dark web dan menjual data dengan memperoleh 8.000 dollar AS atau sekitar Rp 121,4 juta. Atas perbuatannya, pelaku diancam 10 tahun penjara.

Direktur Tindak Pidana Siber Bareskrim Polri Brigadir Jenderal (Pol) Himawan Bayu Aji, saat konferensi pers di Gedung Bareskrim Polri, Selasa (24/9/2024), menjelaskan, BAG ditangkap di rumahnya di Dusun Mulyorejo, Banyuwangi, Jawa Timur, pada Rabu (11/9/2024) sekitar pukul 15.30 WIB. Penangkapan itu berdasarkan laporan polisi (LP) Nomor: LP/A/17/VIII/2024/ SPKT.Dittipidsiber/Bareskrim Polri pada 23 Agustus 2024.

BAG yang berusia 25 tahun itu merupakan guru honorer sekolah dasar di Banyuwangi, Jatim. Menurut Himawan, BAG menjual data untuk keuntungan pribadi. Dari hasil penjualan data tersebut, tersangka kemudian mendapatkan keuntungan mencapai 8.000 dollar AS.

”Terkait jenis data, kami masih memverifikasi, gambarnya data seperti apa. Ketika dijual ke orang, pemanfaatannya untuk apa, kita telusuri bersama BSSN dan BKN, biasanya terkait dengan data profil-profil,” ujar Himawan.

Pada pertengahan Agustus, Chairman Lembaga Riset Keamanan Siber CISSReC Pratama Persadha melalui keterangan tertulis menyampaikan informasi dugaan peretasan di BKN. Temuan itu berasal dari unggahan peretas dengan nama anonim TopiAx di Breachforums, forum yang biasa dipergunakan untuk jual-beli hasil peretasan, dan peretas TopiAx telah menjadi bagian dari forum itu.

Peretas mengklaim berhasil memperoleh data dari BKN sebanyak 4.759.218 baris yang berisi data pribadi dari pegawai negeri sipil (PNS). Data di antaranya nama, tempat dan tanggal lahir, nomor SK PNS, golongan, jabatan, instansi, hingga alamat dan nomor telepon seluler dari PNS tersebut.

”Selain data tersebut, masih banyak lagi data lainnya baik yang berupa cleartext maupun text yang sudah diproses menggunakan metode kriptografi,” katanya.

Himawan melanjutkan, dari hasil pemeriksaan sementara, BAG membuat akun di Breachforums dengan username topi_x pada 2021. Kemudian, tersangka kembali membuat akun dengan username TopiAx pada Breachforums pada Oktober 2023.

Menurut Himawan, pada 9 Agustus 2024, BAG mengakses sistem elektronik milik BKN secara ilegal dengan domain https://satudataasn.bkn.go.id/ menggunakan credentials atau akses login milik admin satudataasn.bkn.go.

Username dan password tersebut ia dapatkan dari salah satu forum di laman https://breachforums.st/. Dalam Breachforums tersebut dapat ditemukan banyak akun username dan password sistem elektronik dari seluruh dunia baik user yang masih aktif maupun sudah expired.

Pada hari yang sama, sekitar pukul 22.00 WIB, tersangka mengunduh data pada situs https://satudataasn.bkn.go.id/ dan selesai pada 10 Agustus 2024 pukul 10.16 WIB. Dari temuan, pelaku berhasil mengunduh data dari sistem elektronik milik BKN dengan total 6,3 (enam koma tiga) giga byte.

Kemudian, BAG mengunggah struktur database dan sampel data ASN yang berasal dari salah satu provinsi pada https://pastebin.com/b1sxfkz2. Selanjutnya link pastebin tersebut diunggah pada akun TopiAx milik tersangka di Breachforums dan menjual dengan cara mencantumkan akun Telegram miliknya untuk menawarkan siapa saja yang tertarik membeli data tersebut dapat menghubungi BAG secara langsung.

Menurut Himawan, tujuan tersangka mengunggah sampel data tersebut adalah untuk membuat orang percaya bahwa BAG memiliki data tersebut dan hal itu juga merupakan aturan yang ada pada https://breachforums.st/.

”Kemudian, tersangka BAG menyebarkan data elektronik tersebut dengan diunggah pada akun TopiAx di Breachforum sebanyak empat puluh sistem elektronik yang tidak hanya milik BKN, tetapi juga milik salah satu universitas di Amerika Serikat, perusahaan swasta di Amerika Serikat, Taiwan, Belgia, Inggris, Thailand, Afrika Selatan, India dan Hong Kong,” ucapnya.

Menurut Himawan, sejauh ini tersangka melakukan sendiri. Namun, pihaknya akan mendalami apakah ada kemungkinan tersangka lainnya dari penjualan data milik BKN tersebut.

Polisi juga mendalami kelalaian dari pihak BKN terkait dengan penggunaan username dan password pada admin server BKN. Ia mengingatkan username dan password bersifat rahasia dan tidak boleh disampaikan kepada pihak ketiga.

Himawan mengimbau masyarakat menjaga kerahasiaan username dan password milik pribadi agar tidak disalahgunakan orang lain. ”Admin ini menjadi peran yang penting bahwa usernamepassword itu tidak boleh ditinggalkan, tidak boleh disampaikan kepada orang,” katanya.

Dari hasil penangkapan tersebut, polisi menyita sejumlah barang bukti seperti 1 laptop berjenis Macbook Air, Asus Vivobook, dan 4 flashdisk, 1 buah router, telepon seluler, ATM Bank Jatim, sepeda motor, dan uang tunai Rp 4,1 juta.

BAG dijerat Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi, Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (ITE), dan Undang-Undang Nomor 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang dan Pasal 55 Kitab Undang-undang Hukum Pidana (KUHP) dengan ancaman 10 tahun penjara.

Kepala Biro Penerangan Masyarakat Divisi Humas Polri Brigadir Jenderal (Pol) Trunoyudo Wisnu Andiko mengingatkan masyarakat tidak mengumpulkan data pribadi yang bukan miliknya dengan tujuan menguntungkan diri sendiri atau orang lain. ”Mari bersama-sama menciptakan ruang siber yang aman bagi masyarakat,” ujarnya. (kompas.id)

Ikuti berita POS-KUPANG.COM di GOOGLE NEWS