Fakta-fakta di Balik Isu Kebocoran Data 26 Juta Pelanggan IndiHome

JAKARTA, KOMPAS.com - Akhir pekan lalu media sosial dihebohkan dengan unggahan pemilik akun Twitter Teguh Aprianto @secgron yang mengungkapkan 26 juta data riwayat penelusuran pelanggan IndiHome dijual di situs gelap.

Akun tersebut menuliskan 26 juta data tersebut telah dicuri dan dibagikan gratis di sebuah forum. Adapun data tersebut termasuk Nomor Induk Kependudukan (NIK) dan nama pelanggan IndiHome.

"Tahun 2020 kemarin kita berhasil menekan @IndiHome untuk mematikan tracker milik mereka yang selama ini digunakan untuk mencuri browsing history milik pelanggan. Sekarang 26 juta browsing history yang dicuri itu bocor dan dibagikan gratis. Ternyata berikut dengan nama dan NIK," tulis akun Twitter tersebut pada Minggu (21/8/2022).

Baca juga: Soal Data 26 Juta Pelanggan Indihome, Telkom: Harganya Rp 470.000, Hanya Data Browsing History

Kemudian, Kementerian Komunikasi dan Informatikan (Kemkominfo) segera memanggil manajemen PT Telkom Indonesia (Persero) Tbk selaku pemilik layanan IndiHome untuk melakukan pendalaman.

"Sehubungan dengan informasi dugaan kebocoran data pribadi pelanggan Indihome, PT Telkom Indonesia (Persero), Kementerian Kominfo sedang melakukan pendalaman terhadap dugaan insiden tersebut," ujar Semuel dalam keterangan tertulis, Minggu (21/8/2022).

Telkom Indonesia pun kini telah selesai menginvestigasi dugaan kebocoran data tersebut dan mendapati bahwa 26 juta data yang dimaksud bukanlah data pelanggan IndiHome.

Lalu bagaimana fakta-fakta yang akhirnya terungkap?

1. Terdapat inkonsistensi pada data

Telkom Indonesia telah berhasil menganalisis 26.730.790 data yang berisikan riwayat penelusuran (browsing history) dan data pribadi yang di jual di forum breached.to oleh pemilik akun Bjorka.

Data yang berisi browsing history selama Agustus 2018-November 2019 ini diklaim dicuri atau dibobol pada Agustus 2022, namun ternyata saat diselidiki pihak Telkom berdasarkan metadata dari data tersebut tercatat tanggal pembuatan 25 Maret 2021.

EGM Information Technology Telkom Indonesia Sihmirmo Adi mengatakan, inkonsistensi inilah yang membuat pihak Telkom meragukan kebenaran data.

"Kita sudah melakukan investigasi dan hasil investigasi yang pertama bahwa metadata file itu dibuat atau dibentuk pada tanggal 25 Maret 2021. Jadi sudah ada inkonsistensi dari situ," ungkapnya dalam konferensi pers di Telkom Land Mark Tower, Jakarta, Senin (22/8/2022).

2. Format data tidak sesuai dengan yang disimpan Telkom

SVP Corporate Communication and Investor Relation Telkom Ahmad Reza mengatakan, pihaknya tidak pernah menyimpan menyimpan riwayat pencarian internet dan data pribadi pelanggan secara berdampingan sebagaimana yang ada di dalam data yang diduga bocor tersebut.

Kemudian format pendataan yang dibeberkan dalam data tersebut berbeda dengan format pendataan di sistem Telkom. Oleh karenanya, dapat disimpulkan bahwa data tersebut merupakan hasil rekayasa seseorang.

"Datanya fabricated (direkayasa) karena tidak mungkin data kami seperti itu bentuknya. Kemudian data nomor ID IndiHome yang ada di situ juga bukan berasal dari sistem penomoran kami. Jadi memang ada pihak ketiga yang dengn sengaja menginject nomor IndiHome ke situ. Kita juga tidak tahu sumber data atau row datanya dari mana," jelasnya dalam kesempatan yang sama.

Selain itu, Telkom Indonesia tidak pernah menggunakan @telkom.net untuk mencatat data pelanggan. Meskipun memang domain @telkom.net benar milik Telkom Indonesia.

"Kalau dibilang @telkom.net sebagai domain yang resmi iya. Tapi di dalam (data) situ itu bukan format yang baku yang biasa kita gunakan untuk mencatat data pelanggan kita," ucapnya.

3. Bukan data pelanggan IndiHome

Reza memastikan data yang diklaim sebagai data pelanggan IndiHome bukanlah data milik perusahaan maupun data milik pelanggan IndiHome yang bocor.

Kesimpulan ini berdasarkan hasil investigasi seperti yang sudah dijelaskan di poin-poin di atas. Pihaknya juga telah mencocokkan data yang diduga bocor dengan data pelanggan IndiHome dan tidak ada yang sama.

"Untuk pelanggan indihome saat ini ada 8,9 juta pelanggan, yang terdetect datanya ada 26 juta sekian. Dari data itu kita coba kueri lagi, kita pastikan sesuai gak antara nama dengan NIK. Dari itu semua kami coba cross check sampai sedetail mungkin. Mungkin datanya agak sedikit false. Angkanya ini misalnya ya, dari 26 juta yang benar-benar mirip itu hanya sekitar 70 yang mungkin benar atau tidak, nah sisanya gak ada," ungkap Reza.

4. Data tidak dibagikan gratis tapi dijual Rp 470.000

Dalam unggahan akun Twitter @secgron disebutkan bahwa data browsing history tersebut bocor dan dibagikan gratis.

"Sekarang 26 juta browsing history yang dicuri itu bocor dan dibagikan gratis. Ternyata berikut dengan nama dan NIK," tulis akun Twitter @secgron.

Namun, pihak Telkom mengungkapkan, data tersebut dijual seharga 0,009478 bitcoin atau Rp 470.000 untuk data sebanyak 26.730.790 record.

Reza mengatakan, angka tersebut diketahui saat pihaknya terpaksa membeli data tersebut untuk melakukan investigasi lebih lanjut.

"Pada saat kemarin ribut-ribut kami juga ikut di forum akhirnya, beli juga. Pengen tahu datanya bener enggak sih? Nah datanya itu angkanya kurang lebih yang kemarin beredar itu sebesar 0,009478 bitcoin atau Rp 470.000 untuk data sebanyak 26 juta," jelas Reza.

5. Telkom akui simpat browsing history pelanggan IndiHome

VP Network/IT Strategy, Technology, and Architecture Telkom Rizal Akbar mengungkapkan, selama ini telah menyimpan detail percakapan termasuk browsing history milik pelanggan layanan IndiHome.

Namun, penyimpanan data pribadi pelanggan ini dilakukan bukan atas keinginan perusahaan semata, melainkan untuk memenuhi kewajiban perusahaan lantaran ini tercantum dalam Undang-Undang (UU) Nomor 36 Tahun 1999 tentang Telekomunikasi.

"Kami harus menyimpan data pelanggan berdasarkan UU. Kami menyimpan itu bukan keinginan kami tapi amanat UU. Jadi seluruh yang kami lakukan itu dasarnya ada di UU. Jadi apa yang kami simpan itu turun dari UU yang tadi saya sebutkan," jelasnya.

Tak hanya UU Telekomunikasi, ternyata terdapat aturan lain juga yang mengharuskan Telkom menyimpan data history browser pelanggan, yaitu Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik, Peraturan Menteri Komunikasi dan Informatika (Permenkominfo) Nomor 20 Tahun 2016 tentang Perlindungan Data Pribadi dalam Sistem Elektronik, dan Permenkominfo Nomor 1 Tahun 2021 tentang Penyelenggaraan Jasa Telekomunikasi.

"Jadi banyak dasar dari UU, peraturan pemerintah, dan peraturan menteri yang membuat kami di Telkom Indonesia sebagai perusahaan publik harus patuh pada UU itu," tambahnya.

Dia menjelaskan, selain untuk memenuhi amanat dari UU dan regulasi lainnya, penyimpanan data pribadi ini juga digunakan Telkom Indonesia untuk melihat rincian penggunaan layanan oleh pelanggan agar perseroan dapat mempelajarinya untuk meningkatkan pelayanan.

"Dari situ kami bisa mengeluarkan data seperti apa informasi teknis dari setiap pelanggan kami, paket loss-nya, latency-nya, return, dan seluruh performance teknis lain yang diperlukan untuk meningkatkan layanan," ungkapnya.

6. Telkom pastikan data pelanggan disimpan dengan baik

Kendati demikian, Rizal meminta pelanggan IndiHome tidak perlu khawatir karena perusahaan telah menyimpan data pribadi dan riwayat penelusuran pelanggan dengan sistem yang sangat aman dan rahasia.

Kemudian, berdasarkan Pemenkominfo Nomor 1 Tahun 2021, data-data pelanggan tersebut harus disimpan dalam kondisi terenkripsi sehingga apabila ada pihak lain yang mencoba untuk membuka data tersebut maka tidak akan bisa terbaca karena terenkripsi

"Jadi ketika ditanya apakah sistemnya menyimpan? Menyimpan, berdasarkan amanat UU. Bagaimana kami menyimpan? Kami menyimpannya dengan sangat terkendali, dengan teknologi yang paling tinggi yang kami miliki, dan dengan akses yang sangat terkendali juga," imbuhnya.

Baca juga: PPATK: Transaksi Judi Online Capai Ratusan Triliun Rupiah, Dana Mengalir hingga Filipina

7. Investigasi berjalan kurang dari 24 jam

Sihmirmo mengungkapkan, pihaknya langsung melakukan investigasi saat baru mengetahui adanya kebocoran data pelanggan, termasuk juga berkoordinasi dengan Kemkominfo.

"Seketika kemarin begitu kita dapat berita itu, kita langsung action. Jadi boleh dibilang chasing time. Kami melakukannya secepat mungkin, tapi seketika tadi malem kami sudah dapat kesimpulan," tukas Sihmirmo.

"(Hasil investigasi didapatkan) satu hari kurang ya, karena kan dari pagi sampai sore. Kurang dari 24 jam yang pasti," tambahnya.

Meskipun proses investigasi dilakukan secepat mungkin, pihaknya memastikan telah berhati-hati dan teliti dalam melakukan setiap langkah investigasi. Sebab, tiap divisi terutama divisi IT telah memiliki proses baku terkait hal ini sehingga hasil dari investigasi dapat dipertanggungjawabkan perusahaan.

8. Hasil pertemuan dengan Kemkominfo

Kemkominfo telah memanggil pihak manajemen Telkom untuk mendapatkan informasi dan mendalami kasus ini serta meminta langkah tindak lanjut perseroan terkait hal tersebut.

Setelah mendapatkan laporan dan langkah pihak Telkom, Kominfo akan mengeluarkan rekomendasi teknis dan berkoordinasi dengan Badan Siber dan Sandi Negara (BSSN).

"Kementerian Kominfo akan segera mengeluarkan rekomendasi teknis untuk peningkatan pelaksanaan pelindungan data pribadi Telkom, dan di saat bersamaan berkoordinasi dengan BSSN," jelas Direktur Jenderal Aplikasi Informatika Kominfo Semuel A. Pangerapan dalam keterangan tertulis, Minggu (21/8/2022).

Reza mengatakan, pihaknya telah bertemu dengan Kemkominfo untuk menyampaikan terkat sampel dari data yang bocor dan penjelasan terkait hasil investigasi perseroan.

"Kominfo menyambut baik apa yang kami sampaikan tadi pagi ke mereka. Jadi kondisinya sudah kami sampaikan semuanya termasuk dengan sampel data dari breach sudah kami sampaikan semua. Jadi tidak ada sesuatu yang tendesius lah," jelasnya.

Dia menyebut, Kominfo meminta agar perseroan tetap menjaga sistem good corporate governance (GCG) agar tidak ada lagi isu-isu hoaks seperti ini. Namun dia tidak menjelaskan apakah Kemkominfo telah mengeluarkan rekomendasi teknis atau belum.

"Araham Kominfo bagus-bagus saja. Sistem GCGnya tetap dijaga dia bilang gitu. Pihak Kominfo sampai saat ini masih tetap mau diskusi lebih detail lagi lah," ucapnya.

Baca juga: Hasil Investigasi Kebocoran Data, Telkom: Tidak Ada Data ID Pelanggan IndiHome yang Valid