Server Kepolisian Tiongkok Kebobolan, Data 1 Miliar Penduduk Dijual Peretas

Kepolisian Shanghai dilaporkan telah menjadi sasaran aksi peretasan dan kebobolan satu miliar data pribadi penduduk Tiongkok. Data sebesar 23 terabyte kemudian diiklankan di situs Breach Forums oleh seorang pengguna yang mengaku sebagai pelaku. Ia memasang harga 10 bitcoin saja, setara 3 miliar jika dirupiahkan. Apabila benar adanya, ini kasus kebocoran data terbesar sepanjang sejarah Tiongkok, memicu kekhawatiran lebih tinggi tentang besarnya data rakyat yang dikumpulkan negara, serta potensi penyalahgunaan yang mungkin terjadi.

Penjual hanya merilis 750.000 data sebagai contoh. Satu dari tiga file yang dibocorkan berisi informasi 250.000 warga Tiongkok, seperti nama lengkap, nomor telepon, alamat rumah, nomor induk kependudukan, dan tempat tanggal lahir. Beberapa di antaranya juga tercantum info tentang jenjang pendidikan dan status perkawinan mereka.

File lain menyimpan 250.000 aduan yang masuk database Kepolisian Shanghai, seperti kasus penjarahan, penipuan online dan kekerasan dalam rumah tangga.

Untuk memastikan kebenarannya, VICE World News menghubungi nomor kontak sejumlah orang yang bocor di forum tersebut. Tiga orang menanggapi permintaan kami, dan mereka membenarkan informasi yang tertera pada laporan polisi. Seorang lelaki mengonfirmasi menantunya pernah tertipu penjualan tiket pesawat palsu seharga 1.500 yuan (Rp3,3 juta) pada 2015. Seorang perempuan mengaku pernah melaporkan aksi perampokan yang terjadi di apartemennya tiga tahun lalu.

Dari ketiga orang tersebut, hanya satu yang sudah mendengar berita tentang kebocoran data. Namun, dia baru tahu dari  VICE World News, kasus curanmor yang ia laporkan pada 2010 ikutan bocor. “Kalau aduan lama saja bisa bocor, saya jadi khawatir dengan keamanan privasiku dan potensi penyalahgunaan data sensitif tersebut,” tuturnya. “Saya harap kasusnya segera ditindak, tapi pasti sulit sekali memperbaiki kerugian yang telah terjadi.”

VICE World News juga membuktikan kebenaran informasi empat pengguna Alipay Transfer dan kontak WeChat mereka.

Yi Fuxian, ahli demografi Universitas Wisconsin-Madison di Amerika Serikat, menemukan beberapa nama kenalan di kampung halamannya saat menyisir data sampel. Dia lahir di provinsi Hunan, yang para penduduknya memakai nama berdasarkan silsilah keluarga. “Datanya mencakup hampir setiap kabupaten di Tiongkok, termasuk daerah-daerah terpencil di Tibet atau sepanjang perbatasan dengan India,” ungkapnya kepada VICE World News. “Ini menunjukkan informasinya tidak palsu.”

Sang peretas menyebut ia mencuri datanya dari Alibaba Cloud, yang digunakan kepolisian Shanghai sebagai tempat penyimpanan database. Perusahaan induk Alibaba Group mengatakan pihaknya masih menyelidiki kasus ini.

Meski beberapa datanya terbukti benar, pakar kebijakan siber Albert Zhang dari wadah pemikir Australian Strategic Policy Institute mewanti-wanti tidak mudah memverifikasi keseluruhan datanya. Ditambah lagi, menurutnya, penipuan kerap terjadi di forum semacam itu. Zhang juga heran mengapa penjual memilih Bitcoin sebagai alat pembayaran, padahal ada mata uang kripto yang sulit dilacak transaksinya dan banyak digunakan peretas.

Walaupun begitu, tereksposnya informasi sensitif telah menimbulkan ketakutan mengenai konsekuensi yang lebih luas, seandainya data curian jatuh ke tangan penjahat siber atau menjadi target ransomware. “Sampel yang dirilis secara publik bisa saja disalahgunakan untuk membuat identitas palsu, menipu individu dan organisasi, atau bahkan menyebabkan kebocoran lebih lanjut dari database perusahaan dan pemerintah,” terangnya.

Para ahli hak digital dan keamanan siber menganggap kasusnya ironis. Sejak tahun lalu, sektor swasta di Tiongkok diminta mengurangi aktivitas pengumpulan data konsumen sebagai upaya meningkatkan perlindungan data. Namun, kasus kebocoran data terbaru bersumber dari lembaga pemerintah.

“UU perlindungan data khususnya ditujukan pada sektor swasta, sedangkan negara dikecualikan dari aturan ini demi kepentingan pertumbuhan tekno-otoriter,” tandas Michael Caster, manajer program digital cabang Asia untuk kelompok HAM ARTICLE 19 yang berbasis di Inggris.

Sistem pengawasan Tiongkok tak diragukan lagi semakin canggih, tapi berkembang pesatnya pengumpulan data untuk intelijen polisi telah menambah risiko yang dihadapi rakyat. Caster menambahkan, cara terbaik melindungi data penduduk dari peretas yaitu dengan menghentikan aktivitasnya baik di sektor pemerintah maupun swasta.

Namun, tentunya itu mustahil terjadi di Tiongkok, yang kerap memanfaatkan data sebagai alat mengontrol populasi.

Dakota Cary, anggota nonresiden China Hub dari Atlantic Council, berpandangan pengesahan UU yang membatasi sektor swasta sia-sia saja apabila pemerintah Tiongkok tidak meningkatkan sistem keamanan datanya yang buruk.

Mari ambil contoh WeChat, aplikasi pesan instan yang populer di Tiongkok. WeChat sampai saat ini belum terenkripsi, sehingga memungkinkan pemerintah untuk membaca dan menyensor pesan pribadi pengguna. Platform media sosial Weibo bahkan telah menghapus dan menyensor semua jenis konten yang membahas tentang kebocoran data massal.

“Kalau lembaga sensor Tiongkok mampu menghapus konten terkait, bukan tidak mungkin para warganya tak sadar telah terjadi kebocoran data,” Cary menyimpulkan.

Follow Rachel Cheung di Twitter dan Instagram.