Josua Sinambela, seorang yang berprofesi sebagai Digital Forensik, menulis di akun Facebooknya. Dari banyaknya peristiwa kebocoran data dalam beberapa tahun terakhir di Indonesia, ini adalah kebocoran dengan jumlah terbanyak dan paling mengkhawatirkan.

Salah satu aktor yang menjual data tersebut menawarkan 337 juta data (tepatnya 337.225.463). Ada 1 juta sampel yang dibagikan oleh pelaku di breachforum.

Analis Sampel Data

Berdasarkan analisis umum, data tersebut umumnya berasal dari provinsi Aceh karena NIK dimulai dengan 11xxxxxxxxxxxx. Karena masih penasaran, saya mencoba menghubungi pelaku dan setelah melakukan verifikasi, saya berhasil mendapatkan 1 juta sampel data tambahan berupa data anak yang lahir pada tahun 2015.

Ketika saya menanyakan harga untuk semua data Dukcapil tersebut, si aktor menawarkan harga sebesar 8.000 USD. Komponen-komponen kolom yang dibocorkan antara lain: NIK, NO_KTP, TMPT_SBL, NO_PASPOR, TGL_AKH_PASPOR, NAMA_LGKP, JENIS_KLMIN, TMPT_LHR, TGL_LHR, AKTA_LHR, NO_AKTA_LHR, GOL_DRH, AGAMA, STAT_KWN, AKTA_KWN, NO_AKTA_KWN, TGL_KWN, AKTA_CRAI, NO_AKTA_CRAI, TGL_CRAI, STAT_HBKEL, KLAIN_FSK, PNYDNG_CCT, PDDK_AKH, JENIS_PKRJN, NIK_IBU, NAMA_LGKP_IBU, NIK_AYAH, NAMA_LGKP_AYAH, NAMA_KET_RT, NAMA_KET_RW, NAMA_PET_REG, NIP_PET_REG, NAMA_PET_ENTRI, NIP_PET_ENTRI, TGL_ENTRI, NO_KK, JENIS_BNTU, NO_PROP, NO_KAB, NO_KEC, NO_KEL, STAT_HIDUP, TGL_UBAH, TGL_CETAK_KTP, TGL_GANTI_KTP, TGL_PJG_KTP, STAT_KTP, ALS_NUMPANG, PFLAG, CFLAG, SYNC_FLAG, GLR_AKADEMIS, GLR_BANGSAWAN, GLR_AGAMA, DESC_KEPERCAYAAN, DESC_PEKERJAAN, IS_PROS_DATANG, FLAG_STATUS, FLAGSINK, KET_AGAMA, KEBANGSAAN, GELAR, KET_PKRJN, COUNT_KTP, COUNT_BIODATA, COUNT_GANDAWNI, LAST_UPD_DATE, FLAG_PINDAH, CREATED_BY, SMS_PHONE, SMS_COUNT, TGL_PROSES_REPLIKASI, MODIFIED_BY, IS_UPT, NAMA_PET_UBAH, CURRENT_STATUS_CODE, EKTP_CREATED_DATE, EKTP_CREATED_BY, EKTP_UPDATED_DATE, EKTP_UPDATED_BY, EKTP_UPLOAD_LOCATION, EKTP_BATCH, EKTP_CURRENT_STATUS_CODE, CERT_STATUS, CERT_CODE, IS_CRUD, EMAIL, CERT_STATUS_KTP, CERT_CODE_KTP, CERT_STATUS_KIA, CERT_CODE_KIA, CERT_CODE_SURKET, CERT_STATUS_SURKET, CERT_STATUS_SURKET2.

Dari data ini, dapat dikonfirmasi bahwa si aktor memang memiliki data yang tersebar dengan jumlah sedemikian banyak dari seluruh provinsi. Dari data tersebut juga dapat disimpulkan bahwa kebocoran berasal dari pusat, bukan dari daerah seperti kebocoran data dukcapil sebelumnya. Berdasarkan analisis lanjutan, tampak bahwa update terakhir pada data tersebut terjadi pada tahun 2018.

Diduga kuat bahwa data ini merupakan data yang telah diambil hingga tahun 2018. Saat ini masih belum diketahui sampai kapan kebocoran data ini akan terjadi. Kami berharap Badan Siber dan Sandi Negara (BSSN) serta Dukcapil/Kemendagri yang saat ini khawatir dan gelisah segera menjalankan rencana respons insiden yang telah disiapkan. Jika tidak ada rencana tersebut, mari kita sedikit mengenang dan berharap agar data tersebut tidak disalahgunakan di masa depan.

Sebenarnya, Josh sudah mengetahui format jawaban yang akan diberikan oleh pemerintah (template dari Kementerian Komunikasi dan Informatika). Pasti nanti akan muncul pendapat di media bahwa data ini adalah data lama, data yang tidak penting, data yang bukan rahasia, dan sebagainya. Namun, berdasarkan hasil investigasi dan validasi dari berbagai sumber yang kami lakukan bersama rekan-rekan, dapat dipastikan bahwa data tersebut valid, termasuk Nama/NIK/KK/Ortu/Akta/Tanggal Lahir, dan lain-lain.