Data Pribadi Tanpa Perlindungan

Embed from Getty Images
Foto: Dok: bayu/independen.id

INDEPENDEN, Jakarta – Natalia Santi (45) tak menyangka kartu kreditnya telah dibobol hingga ia harus menelan kerugian puluhan juta rupiah. Pelakunya sampai saat ini belum tertangkap. Natalia telah melaporkan kasus penipuan ini ke kepolisian, termasuk ke pihak bank. “Saya betul-betul tertipu, dan seperti terhipnotis, percaya begitu saja,” katanya.

Peristiwa ini berawal 8 Mei 2019 lalu. Saat itu, Natalia ditelepon seorang yang mengaku dari Telkomsel. Dalam percapakan itu, penelpon menanyakan poin Telkomsel sebanyak 3200 yang tak pernah digunakan Natalia.  Poin tersebut bisa ditukar dengan bebas tagihan selama tiga bulan, kata si penelpon.

“Dia tahu saya jarang pakai poin Telkomsel. Dia tahu juga Telkomsel saya terhubung dengan kartu kredit. Dia tahu semua data pribadi saya,” tambah Natalia.

Setelah itu, penelpon meminta nomor kartu kredit Citibank Telkomsel dengan alasan untuk menghindari debet ganda. Ia juga meminta kode one-time password (OTP) yang dikirim melalui nomor Nataila.  “Tanpa curiga saya berikan,” kata Natalia.

Mantan jurnalis ini baru mengetahui tertipu setelah melihat sejumlah transaksi asing di dalam kredit Citibanknya. Serentetan transaksi itu di antaranya transfer dari Ready Credit sebesar Rp25 juta ke nomor rekening BRI atas nama Isman Hidayar 2278011000499509, lalu 10 transaksi Blibli.com masing-masing sebesar Rp1 juta, dan Elevania sebanyak delapan kali masing-masing Rp995.300.

“Transaksi online tersebut dimungkinkan karena nomor hp saya telah diubah oleh si penipu,” tambah Natalia.

Kasus yang menimpa Natalia merupakan jenis kejahatan siber social engineering atau manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Natalia memberikan OTP kepada pelaku tanpa menyadari dampaknya, yaitu pencurian kartu kreditnya hingga menyebabkan kerugian puluhan juta rupiah.

“Ini kejahatan credit card fraud dengan menggunakan teknik social engineering,” kata Pengamat IT, Ruby Alamsyah, Senin (20/05).

Rudy menambahkan, kejahatan ini menggunakan teknik untuk mendapatkan kepercayaan tertentu kepada korban, untuk kemudian dapat disalahkangunakan informasi/data yang diperoleh pelaku setelah korban merasa percaya dan mau berikan datanya.

Selain itu, banyak teknik lain pelaku memperdayai korban, misalnya pencurian akun dan sandi melalui program yang dibangun sendiri (phising), memberikan tautan dengan iming-iming hadiah guna mendapatkan akun dan sandi (baiting), penawaran jasa IT kepada perusahaan guna menyedot banyak data pribadi (quid pro quo), dan penyamaran (tailganting/piggyback).

Menurut Ruby, kebanyakan yang dicari pelaku kejahatan adalah data-data pribadi. Melalui data pribadinya, seseorang bisa diperdayai. Perlindungan data pribadi sangat dibutuhkan di tengah kebiasaan masyarakat memberikan data pribadinya, baik ke pihak ketiga maupun media sosial.

Salah satu kasus yang ramai dibicarakan mengenai kerentanan data pribadi adalah saat jutaan akun Bukalapak dicuri peretas, Maret lalu.

The Hacker News memberitakan data dari Bukalapak yang dijual peretas di situs dark web Dream Market mencapai 13 juta akun. Pihak Bukalapak pun mengkofirmasi berita ini.

"Tidak ada data penting seperti user password, finansial atau informasi pribadi lainnya yang berhasil didapatkan," kata Head of Corporate Communications Bukalapak, Intan Wibisono dalam keterangan tertulisnya, Senin (18/03).

Bukalapak meminta para penggunanya mengganti kata sandi (password) secara berkala dan mengaktifkan fitur Two-Factor Authentication (TFA). Fitur ini diperuntukan mencegah penggunaan atau penyalahgunaan data penting dari perangkat lain yang tidak dikenali.

Selain Bulakapak, data yang telah dicuri adalah perusahaan perintis Youthmanual.com. Sebanyak 1,12 juta akun beserta sandinya telah dijual beli melalui dark web atau web gelap sebutan untuk bagian dari dunia maya yang tidak terindeks di mesin pencari seperti Google, dan untuk mengaksesnya diperlukan program atau otorisasi khusus. Melalui keterangan kepada media, CEO Youthmanual, Rizky Muhamad mengaku pihaknya telah mengaudit dan mengevaluasi sistem keamanan.

Lembaga Pemerhati Hak Privasi ELSAM mencatat sejak 2013 hingga 2018 setidaknya terdapat 44 kasus penyalahgunaan data pribadi. Dari data tersebut, penyalahgunaan data paling banyak dilakukan (19) disusul kasus pencurian data (18) dan pembocoran data (7).

 

 

Data:

 

Kasus yang paling disorot adalah bocornya 1 juta data pribadi pengguna Facebook, jual-beli data lewat situs temanmarketing.com, dan praktik phising melalui pesan Whatsapp mengatasnamakan Dirut Tempo dan email mengatasnamakan Dirjen Pajak.

ELSAM mengidentifikasi para pelakunya adalah aparat penegak hukum (pemerintah), media sosial dan perusahaan fintech (privat), dan WNI/WNA (individu).

Indonesia adalah salah satu negara tanpa aturan yang komprehensif mengenai perlindungan data pribadi. Tak ada hukuman yang jelas bagi pihak yang menjual-belikan data pribadi.

Sejauh ini, aturan mengenai perlindungan data pribadi belum diikat dalam satu Undang Undang. Lembaga ELSAM mencatat aturan mengenai data pribadi disinggung dalam 32 Undang Undang. Misalnya, Undang Undang Administrasi Kependudukan (Adminduk) dan Undang Undang Informasi dan Transaksi Elektronik (ITE). Tapi perlindungan data pribadi tidak diatur khusus.

Padahal Undang Undang Perlindungan Data Pribadi di negara tetangga, seperti Malaysia, Singapura, Filipina, Laos dan Thailand sudah disahkan sejak 2010 lalu.

“Kebutuhan UU Perlindungan Data Pribadi yang komprehensif juga sejalan dengan sejumlah perkembangan actual, yang terkait erat dengan praktik pengumpulan data pribadi, baik oleh institusi pemerintah maupun swasta,” kata Deputi Direktur Riset ELSAM, Wahyudi Djafar dalam keterangan persnya di Jakarta, Rabu (15/05).

Wahyudi menambahkan, pengumpulan data pribadi secara besar-besaran yang terlihat adalah melalui pembuatan e-KTP. Swasta pun begitu, perusahaan penyedia platform financial technology (fintech) yang berbasis peer to peer lending. Mulanya perusahaan penyedia platform mengakses data-data pribadi yang ada di ponsel pengguna, seperti foto dan nomor kontak. “Tapi praktiknya data yang diakses justru digunakan untuk proses penagihan,” tambah Wahyudi.

Pihak ketiga atau penagih utang (debt collector) pun tak segan untuk menyebarkan data pribadi dari kliennya yang terlambat membayar utan. Dalam penagihannya, debt collector menyebar data pribadi pengguna berupa transaksi keuangan dan foto dari pengguna kepada kontak-kontak atau kerabat yang ditemukan dari ponsel kreditur, tanpa seizin pemilik data.

“Tidak sedikit pula model penagihan tersebut dilakukan dengan bentuk kekerasan berupa ancaman penyebaran foto pribadi,” lanjut Wahyudi.

 

Penulis : Irham Duilah

Data Lainnya