Data 17 juta pengguna PLN diduga bocor dan dijual di forum breached.to. Penjual, dengan nama ‘loliyta’ menampilkan 10 sampel data pengguna, memuat nama, alamat, KWh, hingga tipe meteran.
Pakar keamanan siber Pratama Persadha mengatakan bahwa data yang bocor identik dengan ciri-ciri pelanggan PLN. Melihat detail informasi yang ditampilkan menurut Pratama sudah cukup untuk menunjukkan itu memang database PLN.
“Jika diperiksa, sampel data yang diberikan tersebut hanya memuat 10 pelanggan PLN. Dari data tersebut berisi banyak informasi dari pelanggan PLN, misalkan nama, id pelanggan, alamat, Tipe pelanggan, batas daya, dan yang lainnya” terang Pratama.
Namun ia mengatakan perlu forensik digital untuk memastikan celah keamanan mana yang dibobol oleh hacker untuk memperoleh data ini, apakah dari sisi SQL sehingga diekspos SQL Injection atau ada celah keamanan lain.
“Sebenarnya 10 sampel data pelanggan PLN dari total 17 juta data yang diklaim tersebut belum bisa membuktikan datanya bocor, berbeda dengan kebocoran data BPJS serta lembaga besar lain misalnya yang data sampelnya dibagikan sangat banyak ribuan bahkan jutaan” kata dia.
“Saat ini kita perlu menunggu si peretas memberikan sampel data yang lebih banyak lagi sambil PLN melakukan digital forensic dan membuat pernyataan.”
PLN bantah data pelanggan bocor dari database
Sementara itu PLN membantah adanya kebocoran data dari database PLN. Perusahaan mengatakan “data yang dikelola PLN dalam kondisi aman sebagaimana mestinya.”
Dalam pernyataan tertulis, PLN mengatakan bahwa PLN telah menerapkan sistem keamanan berlapis bersama Badan Siber dan Sandi Negara (BSSN).
“Kami pastikan server data milik PLN aman dan tidak dimasuki pihak lain. Selain itu data transaksi aktual pelanggan aman,” pungkas Gregorius Adi Trianto, Executive Vice President Komunikasi Korporat & TJSL PLN, Jumat (19/8).
Baru beberapa hari lalu, tepatnya 15 Agustus, pengguna berbeda di forum yang sama, menjual dokumen dari 21,7 ribu perusahaan Indonesia dengan total 347 data. Dari sampelnya, data ini memuat informasi mulai dari KTP, NPWP komisaris dan direksi, izin perusahaan, nomor induk berusaha, SPT, akta perusahaan, dll.
Data ini juga memuat perusahaan asing yang punya cabang regional Indonesia sperti Microsoft, AT&T, Huawei hingga McKinsey. Pengunggah menjual data ini sebesar 50.000 dolar AS.
“Tidak lupa juga penguatan sistem komputer di pemerintahan maupun swasta. Salah satunya bisa dipaksa dengan UU PDP (Undang Undang Perlindungan Data Pribadi),” kata Pratama.
“Jadi ada paksaan atau amanat dari UU PDP untuk memaksa semua lembaga negara melakukan perbaikan infrastruktur IT, SDM bahkan adopsi regulasi yang pro pengamanan siber. Tanpa UU PDP, maka kejadian peretasan seperti situs pemerintah akan berulang kembali,” jelasnya.(Sumber)
