Waduh, Peretas Situs KPU Diduga Jual 204 Juta Data Pemilih DPT Senilai Rp1,2 Miliar

JAKARTA, iNewsSumba.id – Akun anonim Jimbo diduga menjual 204 juta data pemilih dalam Daftar Pemilih Tetap (DPT) senilai Rp1,2 Miliar. Hal itu diungkapkan oleh Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha.

Dikatakan Pratama, akun Jimbo membagikan 500.000 data contoh pada salah satu postingan di situs BreachForums. Tidak hanya itu, ia juga meyertakan beberapa tangkapan layar dari website https://cekdptonline.kpu.go.id/ untuk memverifikasi kebenaran data yang didapatkan tersebut.

Jimbo sebut Pratama menguraikan, data dari 252 juta data yang berhasil didapatkan yang terduplikasi dan setelah disaring, terdapat 204.807.203 data unik yang hampir sama dengan jumlah pemilih dalam DPT Tetap KPU sebanyak 204.807.222 pemilih di 514 kabupaten dan kota di Indonesia serta 128 negara perwakilan.

Untuk diketahui data yang diunggah Jimbo mencakup seperti NIK, nomor KK, nomor KTP (berisi nomor paspor untuk pemilih yang berada di luar negeri), nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten serta kodefikasi TPS. 

"Tim CISSREC juga sudah mencoba melakukan verifikasi data sample yang diberikan secara random melalui website cekdpt, dan data yang dikeluarkan oleh website cek DPT sama dengan data sample yang dibagikan oleh peretas Jimbo, termasuk nomor TPS di mana pemilih terdaftar. Jimbo menawarkan data yang berhasil dia dapatkan seharga 74.000 dolar Amerika Serikat (AS) atau hampir setara Rp1,2 miliar," urai Pratama, Selasa (28/11/2023).

Jimbo dalam tangkapan layar lain, papar Pratama, menampilkan halaman website KPU yang kemungkinan berasal dari halaman dashboard pengguna. Dirinya menduga Jimbo berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering atau melalui malware. Pihak CISSREC sebelumnya, lanjut Pratama sudah memberikan alert kepada Ketua KPU tentang vulnerability di sistem KPU pada tanggal 7 Juni 2023.

Potensi untuk merubah hasil rekapitulasi perhitungan suara, sangat dimungkinkan dilakukan Jimbo. Hal itu sebut Pratama terjadi jika Jimbo benar-benar berhasil mendapatkan kredensial dengan role Admin.

“Bisa saja akun admin tersebut dapat digunakan untuk mengubah hasil rekapitulasi penghitungan suara yang tentunya mencederai pesta demokrasi,” jelas Pratama  sembari menambahkan untik pastikan titik serangan perlu dialukan audit serta forensik sistem keamanan serta server KPU.

"Sambil melakukan investigasi, ada baiknya tim IT KPU melakukan perubahan username dan password dari seluruh akun yang memiliki akses ke sistem KPU tersebut sehingga bisa mencegah user yang semula berhasil didapatkan oleh peretas supaya tidak dapat dipergunakan kembali," pungkasnya.

Editor : Dionisius Umbu Ana Lodu