Kalah Quattrick 0-4, Data INAFIS Bocor dan Dijual Bebas

Kemarin saya masih was-was bahwa kekalahan data Indonesia, yang diwakili Kemkominfo dengan hattrick 0-3, terkait situs hoaks Ela Elo, blunder ucapan ultah Jokowi ke-63 yang disebut netizen mirip duka cita, dan lumpuhnya PDNS selama berhari-hari, akan bisa terjadi lagi dan membuat 0-4 atau quattrick. 

Setelah menduga-duga apa yang akan terjadi lagi dengan H2C alias harap-harap cemas, bukan H2SO4 alias asam sulfat, akhirnya kekhawatiran tersebut terjawab sudah melalui unggahan akun centang biru di X, yaitu Twitter @FalconFeedsio beberapa jam lalu.

Pada Minggu dini hari kemarin (23/06/24), dalam unggahan akun yang memiliki pengikut sebanyak 31,5 ribu dan sering aktif di Dark Web ini, diketahui bahwa telah terjadi peretasan terhadap Indonesia Automatic Fingerprint Identification System (INAFIS). 

Kejadian ini sangat mengkhawatirkan dan tidak bisa dianggap enteng, mengingat data sidik jari termasuk dalam kategori yang sangat sensitif dan seharusnya dijaga kerahasiaannya, bukan dipublikasikan atau dijual secara terbuka. 

Saya menyebut "dijual secara terbuka" karena harga yang ditawarkan hanya sebesar US$ 1000 atau sekitar Rp16,5 juta. Nilai ini sebenarnya dimaksudkan untuk menunjukkan betapa mudahnya data di Indonesia tersedia, bukan semata-mata untuk keuntungan ekonomi.

"Moonz Haxor, anggota Breach Forums, telah mengunggah pelanggaran data signifikan yang melibatkan Sistem Identifikasi Sidik Jari Otomatis Indonesia (INAFIS). Pelanggaran ini mencakup data sensitif seperti gambar sidik jari, email, dan aplikasi Spring Boot dengan konfigurasi propertinya. Postingan tersebut juga menyoroti tawaran untuk menjual data yang disusupi ini seharga $1000," demikian yang ditulis oleh akun @FalconFeedsio. 

Hal ini menunjukkan dengan jelas bahwa di Breach Forums, data-data tersebut ditawarkan secara terbuka oleh pihak yang dikenal sebagai Moonz Haxor, lengkap dengan harga dan penjelasan detail mengenai bagian-bagian mana yang telah disusupi.

Baca Juga: Setali Tiga Uang, StarLink 'Hanya' Tiga Puluh M, Alias Tiga Kali Prank

Dia juga menyebutkan bahwa beberapa file yang disusupi oleh Moonz Haxor adalah: 

1. Wajah Anggota INAFIS (PNG) dengan email, 
2. Sidik Jari Anggota INAFIS (WSQ) dengan email, 
3. Aplikasi Spring Boot INAFIS (JAR) dengan konfigurasi database. 

Meskipun saat ini belum diketahui apakah data-data yang disusupi tersebut termasuk dalam database penduduk Indonesia yang dimiliki oleh INAFIS, saya khawatir ini hanya masalah waktu. Biasanya, jika telah diumumkan secara terbuka di Dark Web seperti ini, kebocoran akan terjadi, mirip dengan kasus kebocoran data BPJS dan Paspor sebelumnya.

Setelah Sistem Imigrasi mengalami kekacauan akibat gangguan pada Pusat Data Nasional Sementara (PDNS) kemarin, dan Kemkominfo terlihat bingung dan tidak berbuat banyak selama berhari-hari, kini giliran INAFIS yang bocor.

INAFIS adalah pelaksana teknis di bidang identifikasi yang berada di bawah Badan Reserse Kriminal (Bareskrim) Polri. Pesan yang disampaikan di Dark Web kali ini sangat strategis dan menyentuh. Hal ini karena tugas INAFIS mencakup pembinaan dan penyelenggaraan fungsi identifikasi untuk mendukung penyidikan dan penegakan hukum.

Lebih jauh lagi, PusINAFIS (Pusat INAFIS) memiliki fungsi pemeriksaan teknis TKP, pemeriksaan terhadap barang bukti dan manusia sesuai dengan bidang atau bagian dalam rangka pembuktian secara ilmiah pada proses penyidikan dan penegakan hukum, baik di tingkat pusat maupun kewilayahan. Secara garis besar, peran INAFIS dapat dibagi menjadi dua, yaitu dalam segi penegakan hukum dan pelayanan terhadap masyarakat.

Dari segi penegakan hukum, peran tim INAFIS dapat dilihat dalam proses identifikasi atau pengungkapan pelaku dalam suatu kasus, identifikasi terhadap korban tanpa identitas, pelacakan Daftar Pencarian Orang (DPO), pencekalan tersangka yang akan keluar atau masuk Indonesia, serta pencegahan dokumen palsu.

Sementara itu, dalam segi pelayanan, INAFIS dapat terlibat dalam mengidentifikasi orang hilang, mengidentifikasi korban kecelakaan atau bencana alam, dan lain-lain. Salah satu aturan mengenai INAFIS tertuang dalam Peraturan Kapolri (Perkap) No 5 Tahun 2019 tentang Perubahan Atas Perkap No 6 Tahun 2017 tentang Susunan Organisasi dan Tata Kerja Satuan Organisasi Pada Tingkat Mabes Polri.

Dari fungsi, tugas, dan big data yang dimiliki INAFIS, data-data spesifik dari seluruh masyarakat Indonesia dapat diperoleh. Data ini dapat digunakan untuk pengungkapan kasus berdasarkan bukti identifikasi ilmiah atau Scientific Identification yang kini sedang dikembangkan.

Masalahnya, meskipun sudah ada pengumuman terbuka mengenai kebocoran di INAFIS, apakah Kemkominfo sebagai Penanggungjawab Pusat Data Nasional (PDN) akan mengakui dan bertanggung jawab?

Saya khawatir tidak, karena berdasarkan pengalaman kebocoran data BPJS dan paspor sebelumnya, pihak-pihak yang bertanggung jawab malah dengan mudahnya mengelak dengan mengatakan bahwa "kebocoran bukan berasal dari pihak kami" dan menyebut data-data tersebut bisa diperoleh dari mana saja.

Kita juga tidak pernah mendengar ada pihak-pihak yang disanksi apalagi dituntut atas kebocoran-kebocoran tersebut sebelumnya, karena di sini, sebagaimana komentar netizen, kebocoran adalah hal yang biasa, bahkan tidak aneh jika tidak ada kebocoran.

Baca Juga: Perkembangan Pusat Data Nasional, Ini Tindakan Lanjutan dan Pemulihan Kominfo

Ironisnya, Indonesia sampai disebut sebagai "Negara Open Source sampai sedata-data pribadi penduduknya" karena meskipun sudah memiliki UU Perlindungan Data Pribadi No 24 Tahun 2022 yang di dalamnya jelas-jelas tertulis apa saja yang bersifat data pribadi, cara mengelolanya, hingga sanksi hukum untuk pihak-pihak yang membocorkannya, tampaknya UU tersebut seperti "pepesan kosong" saja.

Istilah "pepesan kosong" ini mengingatkan kita pada pernyataan seorang profesor yang ditunjuk sebagai ahli KPU di sidang MK, yang juga mengatakan bahwa SIREKAP hanya "pepesan kosong", padahal secara de facto digunakan untuk menghitung hasil Pemilu 2024 lalu. Artinya, semua ini hanya omong kosong saja, alias tidak ada gunanya?

Kesimpulannya, meskipun untuk saat ini baru data internal INAFIS yang dibocorkan dan dijual di Dark Web, jika melihat apa yang telah disusupi oleh Moonz Haxor, kemungkinan besar mereka bisa mencapai Big Data penduduk Indonesia yang terekam detail di dalamnya. Jelas ini bukan masalah sepele dan sederhana, harus disikapi dengan serius dan tidak boleh lagi ditanggapi dengan sikap apatis dan bingung.

Indonesia akan hancur jika data-data yang sebelumnya disebut sebagai "New Oil" dan sangat berharga ini diobral murah begitu saja, semurah hati nurani dan etika yang pada Pemilu 2024 lalu sudah bukan lagi merupakan hal utama. Ini sudah seperti kalah 0-4, apakah akan dibiarkan terus menjadi kalah 0-5, 0-6, bahkan seterusnya?