Kebocoran Data E-Commerce Indonesia Masih Jadi Ancaman Serius
Kamis, 20 Juni 2024, Indonesia mengalami salah satu insiden siber paling besar dalam sejarahnya. Pusat Data Nasional Sementara atau PDNS 2 yang berlokasi di Surabaya, Jawa Timur, lumpuh akibat serangan ransomware bernama Brain Cipher, pengembangan terbaru dari Lockbit 3.0. Lebih dari 210 instansi pemerintah mengalami gangguan layanan publik, termasuk layanan imigrasi yang sempat lumpuh total di berbagai titik. Pelaku meminta tebusan sebesar 8 juta dolar AS atau sekitar Rp 131,6 miliar. Ini bukan insiden pertama, dan faktanya bukan yang terakhir.
Berselang beberapa pekan, pada Rabu, 18 September 2024, pendiri Ethical Hacker Indonesia Teguh Aprianto mengungkap melalui media sosialnya bahwa sebanyak 6 juta data Nomor Pokok Wajib Pajak (NPWP) telah bocor dan dijual oleh peretas bernama Bjorka di forum BreachForums. Data yang bocor mencakup informasi milik Presiden Joko Widodo, Wakil Presiden terpilih Gibran Rakabuming Raka, serta sejumlah pejabat tinggi negara. Insiden ini mendorong Komisi I DPR menggelar rapat kerja darurat dengan Kominfo dan BSSN di Gedung DPR, Senayan, Jakarta, pada Senin, 23 September 2024.
Skala Masalah yang Terus Membesar
Data dari Kementerian Komunikasi dan Informatika menunjukkan bahwa sepanjang 2019 hingga Mei 2024, sudah ada 111 kasus kebocoran data yang ditangani secara resmi. Angka ini menempatkan Indonesia dalam daftar 10 negara dengan kebocoran data terbesar di dunia versi Surfshark, dengan estimasi 94,22 juta akun bocor. Menurut laporan yang sama, Indonesia menduduki posisi ke-8 secara global berdasarkan jumlah akun yang terdampak. Badan Siber dan Sandi Negara (BSSN) mencatat 3,64 miliar anomali serangan siber hanya dalam periode Januari hingga Juli 2025, angka yang hampir menyamai total anomali dalam lima tahun sebelumnya secara keseluruhan.
Sektor e-commerce menjadi salah satu target yang paling konsisten. Platform marketplace menyimpan kombinasi data yang sangat bernilai bagi pelaku kejahatan siber: nama lengkap, nomor identitas, alamat rumah, nomor telepon, data kartu pembayaran, hingga riwayat transaksi. Ketika data ini bocor dan diperdagangkan di forum bawah tanah, konsekuensinya bisa sangat luas mulai dari pencurian identitas, pengambilalihan akun, hingga penipuan finansial yang menyasar korban secara langsung.
Konteks Hukum yang Mulai Menguat
Respons regulasi terhadap maraknya insiden kebocoran data mulai menguat dengan hadirnya Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi (UU PDP). Undang-undang ini memberikan landasan hukum yang lebih kuat bagi penanganan insiden kebocoran data dan mewajibkan platform digital untuk mengambil langkah perlindungan yang memadai terhadap data penggunanya. Namun implementasi di lapangan masih menjadi tantangan tersendiri, terutama dalam hal kapasitas investigasi, kecepatan respons, dan mekanisme kompensasi bagi korban.
Sejumlah akademisi dan pakar hukum yang mengkaji kasus-kasus kebocoran data nasional mencatat bahwa gap antara regulasi dan praktik masih signifikan. Dalam kajian yang diterbitkan dalam Jurnal Hukum Desentralisasi pada Mei 2025, peneliti Imanuel Toding Bua dan Nur Isdah Idris menyimpulkan bahwa kerentanan sistemik, kesiapan infrastruktur yang tidak memadai, dan faktor manusia adalah penyebab utama insiden-insiden besar yang terjadi sepanjang 2024. Rekomendasi yang diajukan mencakup penguatan tata kelola data, peningkatan standar teknis, dan mekanisme penegakan hukum yang lebih tegas.
Ancaman yang Terus Berevolusi
Pola serangan terhadap platform e-commerce dan ekosistem digital Indonesia terus berkembang seiring kemajuan teknologi. BSSN mengungkap bahwa 83,68 persen dari seluruh anomali siber yang tercatat pada periode Januari hingga Juli 2025 berbasis malware, yang menyusup melalui unduhan aplikasi palsu, tautan phishing, dan lampiran email berbahaya. Sementara itu, Kementerian Komunikasi dan Digital (Kemkomdigi) melaporkan bahwa konten deepfake di Indonesia meningkat 550 persen dalam lima tahun terakhir dan mulai digunakan untuk memalsukan identitas dalam proses verifikasi onboarding digital.
Otoritas Jasa Keuangan (OJK) bersama Indonesia Anti Scam Center (IASC) mencatat total kerugian akibat penipuan online melampaui Rp 2,6 triliun hingga Mei 2025. Angka ini belum mencakup kerugian yang tidak dilaporkan, yang menurut para ahli keamanan siber kemungkinan jauh lebih besar karena masih banyak korban yang tidak melapor akibat kurangnya kesadaran atau kepercayaan terhadap mekanisme pelaporan yang tersedia.
Apa yang Dibutuhkan Pengguna dan Platform
Dari sisi pengguna, insiden-insiden ini menjadi pengingat keras bahwa data pribadi yang diserahkan kepada platform digital tidak pernah sepenuhnya bebas dari risiko. Menggunakan password yang unik untuk setiap platform, mengaktifkan autentikasi dua faktor, dan memantau aktivitas mencurigakan pada akun secara rutin adalah langkah minimal yang bisa diambil secara mandiri. Namun perlindungan sesungguhnya membutuhkan lebih dari itu karena sebagian besar kebocoran terjadi di sisi server, bukan di perangkat pengguna.
Dari sisi platform, tanggung jawab yang diamanatkan UU PDP mencakup kewajiban melaporkan insiden kebocoran data kepada otoritas dalam waktu yang ditetapkan, menyampaikan notifikasi kepada subjek data yang terdampak, serta mengambil langkah mitigasi yang dapat dipertanggungjawabkan. Standar ini membutuhkan investasi serius dalam infrastruktur keamanan, audit berkala, dan budaya organisasi yang menempatkan keamanan data sebagai prioritas operasional, bukan sekadar formalitas kepatuhan.
