17 Juta Lebih Data Pelanggan PLN Diduga Bocor dan Dijual di Internet
Dugaan kebocoran data kembali menimpa BUMN Indonesia, kali ini belasa juta data pelanggan Perusahaan Listrik Negara (PLN) diduga telah bocor dan diperjual belikan di internet.
IDWS, Jumat, 19 Agustus 2022 - Dari pantauan Indowebster, pengguna "Breach Forum" dengan username "loliyta" lengkap dengan gambar profil (PP) khas anime, membuat thread dengan judul "INDONESIAN PLN DATA 17 MILLION++" di Breach Forum.
"Halo, saya menjual data [pelanggan] PLN (sebanyak) 17 juta lebih dengan (informasi mencakup) ID lapangan, idpel, nama, nama konsumen, tipe energi, KWh, alamat, nomor meter, tipe meter, nama unit UPI, Unit Ap, nama Unit Ap, Unit Up, nama Unit Up, Last Update, Created At," tulis lolityta di thread tersebut pada Kamis (18/8/2022).
Hacker yang diduga menjual data-data pelanggan PLN di Breach Forum. (Tangkapan layar Breached Forum)
Ia juga mentertakan contoh (sample) data pelanggan PLN yang berhasil ia curi di mana sample yang dibagikan seluruhnya adalah penduduk Aceh. 17 juta lebih data pelanggan PLN itu dijual Loliyta seharga US$50 ribu atau sekitar Rp750 juta. Ia juga mengatakan bahwa bagi siapapun yang berminat akan data-data pelanggan PLN yang ia jual itu, bisa menghubunginya lewat Telegram.
Melihat kelengkapan datanya, besar kemungkinan data-data itu dicuri langsung dari server pusat PLN.
Diduga dicuri dari server pusat PLN
Peneliti keamanan siber independen yang juga seorang bug hunter (pemburu lubang keamanan internet), Afif Hidayatullah, meyakini bahwa data yang dijual di Breach Forums itu benar merupakan milik PLN.
"Benar, itu (data) milik PLN karena karena terdapat Jenis Energi, kWh, Alamat, No Meter," kata Afif kepada KompasTekno, Jumat (19/8/2022).
"Hanya saya belum tahu (data) ini dari pusat atau cabang PLN. Hanya saja data seperti informasi itu kemungkinan di simpan di server pusat," lanjutnya.
Afif menjelaskan, hasil analisisnya yang membuat ia meyakini data yang dijual itu benar milik PLN di server pusat. Pertama, jumlah data yang dibocorkan terlalu besar. Bila melihat sampel data yang diberikan, semuanya berasal dari pelanggan PLN di Aceh.
"Padahal, penduduk Aceh berdasarkan informasi di internet saja hanya ada sekitar 5 juta lebih," kata Afif. Selanjutnya, dari sampel yang disertakan, kata Afif, bisa dilihat pula bahwa informasi pelanggan yang dibocorkan juga lengkap.
Sementara itu dari kelengkapan data para pelanggan, Afif yakin bahwa data tersebut adalah data PLN karena tidak ada lagi pihak yang bisa mencatat data dari 17 juta pelanggan sebanyak itu di Indonesia.
"Jelas yang mengeluarkan data tersebut hanya PLN. Tidak ada lagi di Indonesia yang mencatat informasi tersebut dengan jumlah sampai 17 juta lebih," pungkas Afif.
Di sisi lain, Chairman lembaga riset siber CISSReC (Communication & Information System Security Research Center), Pratama Persadha masih menyangsikan keabsahan klaim 17 juta data pelanggan yang berhasil dibobol.
"Jika diperiksa, sample data yang diberikan tersebut hanya memuat 10 pelanggan PLN... Sebenarnya 10 sample data pelanggan PLN dari total 17 juta data yang diklaim tersebut belum bisa membuktikan datanya bocor" kata Pratama seperti dikutip dari KompasTekno.
Menurut Pratama, berbeda dengan kebocoran data BPJS atau lembaga besar lain yang data sampelnya dibagikan sangat banyak ribuan bahkan jutaan. "Saat ini kita perlu menunggu si peretas memberikan sampel data yang lebih banyak lagi sambil PLN melakukan digital forensic dan membuat pernyataan." imbuhnya.
PLN sebut server utamanya aman
PT PLN (Persero) memastikan data-data pelanggannya dalam kondisi aman dan layanan berjalan normal. Juru bicara PLN Gregorius Adi Trianto mengatakan, data yang dikelola PLN dalam kondisi aman sebagaimana mestinya. Data yang beredar juga dsebut data replikasi, bukan data transaksional aktual dan sudah tidak update.
PLN mengaku telah dan terus menerapkan keamanan berlapis bersama Badan Siber dan Sandi Negara (BSSN) untuk tindakan pengamanan yang sangat ketat dengan tujuan memperkuat dan melindungi data-data pelanggan.
"Kami pastikan server data milik PLN aman dan tidak dimasuki pihak lain. Selain itu data transaksi aktual pelanggan aman," kata Gregorius kepada KompasTekno, Jumat.
“Kami sedang melakukan investigasi atas user-user yang terotorisasi dan berkoordinasi dengan aparat penegak hukum, bilamana ditemukan indikasi pelanggaran hukum menyangkut kerahasiaan data perusahaan,” pungkas Gregorius.
(Stefanus/IDWS)
Sumber: Breached Forum, KompasTekno
