Sebanyak 26 juta browsing history atau riwayat pencarian milik pelanggan Indihome diduga bocor. Bahkan kabarnya kebocoran tersebut dibagikan gratis di sebuah forum online.
Kabar ini terendus setelah Cyber Security Researcher & Consultant yakni Teguh Aprianto mengunggah sebuah utas (thread) di Twitter dengan handle @secgron. Utas itu juga disertai dengan tangkapan layar atau (screenshot) akun yang memajang data riwayat pencarian yang diduga milik pelanggan Indihome.
Melansir Kompas Tekno saat mendapatkan izin dari Teguh untuk mengutip twit tersebut. Dimana dalam twitt tersebut, Teguh mengatakan bahwa riwayat browsing yang diunggah ke forum online merupakan riwayat pencarian yang sempat dikumpulkan oleh mesin pelacak riwayat browsing (tracker history) Indihome sejak beberapa tahun lalu.
“Tahun 2020 kemarin kita berhasil menekan @IndiHome untuk mematikan tracker (pelacak) milik mereka yang selama ini digunakan untuk mencuri browsing history milik pelanggan. Sekarang 26 juta browsing history yang dicuri itu bocor dan dibagikan gratis,” tulis Teguh.
Disamping itu, Teguh juga menambahkan bahwa data NIK milik pengguna juga ikut terpampang di forum online tersebut. Lantas ia mengunggah sebuah contoh, di mana riwayat pencarian yang dicuri, lalu diidentifikasi nama pencarinya, termasuk informasi sensitif lain, seperti jenis kelamin dan juga Nomor Induk Kependudukan.
Pada tahun 2020 lalu, Teguh mengungkap dugaan pengumpulan data riwayat pencarian pengguna Indihome. Dikatakan olehnya, berdasarkan website tracker milik Indihome, hits yang dikumpulkan mencapai lebih dari 26 juta riwayat. Sedang tak lama kemudian, website tracker tersebut pun ditutup.
Selama ini @IndiHome diam-diam mengambil data browsing history milik kamu.
Berdasarkan website tracker milik mereka, website tsb sudah mendapatkan hits sebanyak 26,681,371,055 (26,6 Miliar).
Tidak diketahui berapa banyak data yg sudah mereka dapatkan. https://t.co/543aeeSqw3
— Teguh Aprianto (@secgron) September 17, 2020
Demikian contoh salinan twit yang ditulis oleh Teguh Aprianto, sesuai dengan keterangan mengutip dari Kompas Tekno.
Daftar Isi
Cocok dengan Data Pengguna Indihome
Mengacu pada keterangan yang dikutip dari Kompas Tekno, data sebanyak 26 juta riwayat pencarian yang diduga milik pengguna Indihome dipajang di situs Breached Forums. Diketahui bahwa data tersebut diunggah oleh akun dengan username “Bjorka” dan diposting pada Sabtu, 20 Agustus 2022.
Sebelumnya, akun tersebut juga mengunggah data yang diduga milik pelanggan Perusahaan Listrik Negara (PLN).
Rincian informasi yang di duga milik dari pelanggan Indihome dan dimuat pada forum tersebut diantaranya seperti platform, domain, URL, browser, Google Keyword, IP, Resolusi Layar, E-mail, lokasi pengguna, Gender, Nama, NIK, dll.
Keterangan serupa juga di paparkan oleh Peneliti keamanan siber independen yang juga seorang bug hunter (pemburu celah keamanan internet), yakni Afif Hidayatullah mengatakan bahwa data yang diunggah ke forum online tersebut adalah data pengguna Indihome.
Hal itu karena data yang terpampang pada forum online tersebut sesuai dengan jumlah data riwayat pencarian yang dikumpulkan website tracker history Indihome dua tahun lalu, seperti isi twit yang pernah diunggah Teguh.
“Menurut saya ini benar seharunya data mereka, karena aneh jika ini bukan dari pihak Indihome, karena data yang dijual sangat besar jumlahnya,” ucap Afif mengutip dari Kompas Tekno, Minggu (21/8/2022).
Disamping itu Afif juga menganalisis data yang diduga bocor. Dia mencoba cek alamat IP (IP address) sampel data yang diposting pada forum online. Hasilnya, ternyata alamat IP itu menunjukan layanan penyedia internet dari PT. Telkom Indonesia. Bukan hanya itu, alamat IP itu juga menunjukan lokasi yang berbeda, misalnya di Jawa Timur dan Jawa Barat.
Dengan begitu, bisa ditarik kesimpulan bahwa besar kemungkinan data riwayat pencarian yang dijual adalah data pengguna dari berbagai daerah di Indonesia.
Indihome Lakukan Investigasi
Dalam masalah ini, pihak Indihome sendiri telah menanggapi dugaan kebocoran data para penggunanya. Pujo Pramono, selaku VP Corporate Communication Telkom Indonesia mengatakan bahwa pihaknya sedang melakukan koordinasi internal guna memastikan validitas data yang diduga bocor.
“Namun dapat dipastikan bahwa Telkom berkomitmen menjamin keamanan data pelanggan dengan sistem kemanan siber yang terintegrasi dan menjadikan hal tersebut sebagai prioritas utama,” tutur Pujo.
“Telkom tidak pernah mengambil keuntungan komersial apalagi memperjualbelikan data pribadi pelanggan,” imbuh pujo.
Pujo juga menambahkan, PT Telkom Indonesia sendiri sangat mematuhi etika bisnis, compliance dan tata kelola perusahaan sesuai peraturan perundangan yang berlaku.
“Kami akan terus berupaya meningkatkan pengamanan data pelanggan demi meningkatkan kenyamanan pelanggan,” ucap Pujo.
Kominfo Akan Panggil Manajemen Telkom
Kasus ini pun turut membuat Kominfo harus terlibat di dalamnya. Kementerian Komunikasi dan Informatika (kominfo) akhirnya buka suara atas kasus dugaan bocornya riwayat pencarian pelanggan Indihome.
Semuel A Pangerapan selaku Direktur Jenderal Aplikasi Informatika mengatakan jika Kominfo sedang mendalami dugaan kebocoran data tersebut. Serta disamping itu, Kominfo akan memanggil manajemen PT Telkom Indonesia Tbk guna dimintai keterangan lebih lanjut.
“Kementerian Kominfo juga akan segera melakukan pemanggilan terhadap manajemen Telkom untuk mendapatkan laporan dan langkah tindak lanjut Telkom terkait dengan dugaan insiden,” ujar Samuel
Samuel atau biasa di sapa Sem tersebut juga mengatakan, Kominfo akan segera mengeluarkan rekomendasi teknis untuk peningkatan pelaksanaan perlindungan data pribadi Telkom. Lalu kominfo juga berkoordinasi dengan Badan Siber dan Sandir Negara (BSSN) terkait hal ini.
Telkom Ungkap Hasil Investigasi Kebocoran Data Pelanggan Indihome
Telkom sendiri untuk kasus ini mengklaim jika data pengguna Indihome yang diduga bocor bukan data asli, merupakan data hasil fabrikasi atau rekayasa dilakukan oknum.
“Data yang ada di situ bukan data id Indihome yang valid sehingga disimpulkan bahwa tidak ada breach dan bahwa data itu merupakan hasil fabrikasi,” kata Sihmirmo Adi, EGM Information Technology Telkom di Vertical Garden Telkom Land Mark Tower, Jakarta Selatan, pada hari ini Senin (22/8).
Sebelumnya juga sempat beredar kabar tentang kebocoran data pengguna Indihome sekaligus data browsing history. Data yang terdiri dari 26.730.797 record komposisi browsing history serta data pribadi periode Agustus 2018-November 2019 tersebut dijual di forumbreached.to.
SVP Corporate Communication and Investor Relation Telkom Ahmad Reza, dalam kesempatan yang sama juga mengatakan pihaknya telah melakukan investigasi sejak kabar kebocoran beredar dan menemukan beberapa fakta yang mendukung kesimpulan data diduga bocor yang merupakan fabrikasi.
Pertama, Reza menyebut tidak adanya record yang mengandung id Indihome valid dalam data itu. Lalu, domain email @telkom.net bukanlah resmi domain email yang digunakan untuk kepentingan perusahaan maupun sebagai fitur atau layanan pelanggan.
Disisi lain sistem Telkom juga tak menyimpan browsing history serta data pribadi secara berdampingan.
“Intinya adalah tidak ada sistem yang di-breach dan dapat diduga data yang dipublikasikan di forum adalah hasil fabrikasi atau rekayasa,” imbuhnya.
Reza untuk lebih lanjut mengatakan, bahwa pihak Telkom sendiri sudah berkomunikasi dengan Kementerian Komunikasi dan Informatika terkait kasus dugaan kebocoran yang terjadi. Telkom, sesuai penjelasan Rezq telah memaparkan hasil temuan investigasi ini kepada Kominfo.
“Sampai dengan pagi tadi kami sudah melakukan koordinasi juga dengan Kominfo dan kami juga sudah menjelaskan terkait dengan kondisi saat ini dan dari pihak mereka juga cukup meyakini rasanya dengan apa yang kami sampaikan sebelumnya,” Reza menambahkan.