Seorang individu yang dikenal sebagai Jimbo telah menjual informasi pribadi sebanyak 204 juta data dari Daftar Pemilih Tetap (DPT) yang berasal dari situs web Komisi Pemilihan Umum (KPU). Para ahli di bidang keamanan cyber telah mengungkapkan teknik yang digunakan oleh Jimbo untuk meretas situs web KPU dan mencuri informasi tersebut.

Pratama Persadha, Ketua Lembaga Riset Keamanan Siber CISSReC, memperkirakan bahwa sang peretas berhasil mendapatkan akses ke admin situs web KPU. Ia bisa saja melakukan hal tersebut melalui beberapa cara, seperti phishing, teknik social engineering, atau dengan memasukkan malware.

“Melalui tangkapan layar lain yang dibagikan oleh Jimbo, tampak sebuah halaman dari situs web KPU yang diduga berasal dari dashboard pengguna,” ungkapnya. “Dengan adanya tangkapan layar tersebut, besar kemungkinan Jimbo berhasil memperoleh akses login dengan peran sebagai admin KPU dari domain sidalih.kpu.go.id melalui metode phishing, social engineering, atau melalui penggunaan malware.”

CISSREC melaporkan tindakan Jimbo yang menjual data dari KPU. Informasi sebanyak 204 juta warga Indonesia dijual oleh Jimbo dengan harga US$74 ribu atau sekitar Rp 1,2 miliar.

Skandal Peretasan Data Pemilih KPU: Jimbo Jual 204 Juta Informasi

Jimbo juga membagikan contoh 500 data di situs darkweb Breachforums. Akun tersebut juga mengunggah beberapa tangkapan layar dari situs web Cek DPT Online milik KPU guna memverifikasi keaslian data yang didapatkan.

“Dalam postingannya di forum tersebut, Jimbo menyatakan bahwa dari 252 juta data yang berhasil didapatnya, terdapat beberapa data yang saling sama, setelah dilakukannya penyaringan, ditemukan bahwa ada 204.807.203 data yang unik. Jumlah ini hampir sebanding dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari 514 kabupaten/kota di Indonesia dan 128 negara perwakilan,” tulis Pratama Persadha, Ketua Lembaga Riset Keamanan Siber CISSReC, pada Rabu (29/11/2023).

Informasi yang dibagikan tersebut mencakup Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga, nomor Kartu Tanda Penduduk (KTP), nomor paspor untuk pemilih di luar negeri, nama lengkap, jenis kelamin, tanggal dan tempat lahir, status pernikahan, alamat lengkap, RT, RW, kode kelurahan, kecamatan, kabupaten, serta kode Tempat Pemungutan Suara (TPS).

Lembaga tersebut juga berusaha untuk memverifikasi keaslian data dari sampel yang diberikan oleh Jimbo. Hasilnya, data yang diambil dari situs web Cek DPT Online sama persis.

Penjualan Massal Data Pemilih: Jimbo dan Rentetan Kejanggalan Keamanan Data dari Peretasan KPU

Pratama Persadha menambahkan bahwa dari 252 juta data yang berhasil didapat Jimbo, setelah proses penyaringan, ditemukan sebanyak 204.807.203 data yang unik, mendekati jumlah pemilih dalam DPT Tetap KPU. Informasi yang tersebar termasuk Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga, nomor Kartu Tanda Penduduk (KTP), serta data pribadi lainnya.

Upaya verifikasi oleh lembaga tersebut menegaskan bahwa data yang diperoleh Jimbo benar-benar identik dengan informasi yang ada di situs Cek DPT Online milik KPU.