Baca berita dengan sedikit iklan, klik di sini
BERBAGAI kebocoran data digital marak terjadi belakangan ini. Peretasan yang dilakukan oleh hacker seperti Bjorka tak hanya menimpa data publik, tapi juga data lembaga negara. Salah satu peretas itu adalah akun Strovian, yang mengklaim bisa menjebol data BIN atau Badan Intelijen Negara lalu mengunggahnya ke situs Breached.to. Ia memberi judul dokumen tersebut "Stupid Intelligence".
Melalui pelbagai jaringan, Tempo melacak pemilik akun Strovia. Kami berkomunikasi secara virtual selama sekitar dua jam pada Jumat tengah malam hingga Sabtu dinihari, 16-17 September lalu.
Baca berita dengan sedikit iklan, klik di sini
Ia menolak menunjukkan wajahnya dan menggunakan suara palsu selama wawancara video. Kepada wartawan Tempo, Ima Dini Shafira dan Stefanus Pramono, ia membeberkan cara meretas server BIN dan beberapa lembaga negara lain. Pentingkah datanya?
Bagaimana Anda bisa meretas data BIN?
Kalau dapat datanya sudah lama, Oktober-November 2020. Dengan salah satu track server, saya dan tim bisa menjaring beberapa IP (Internet Protocol) dari banyak tempat. Suatu hari masuk IP dari Indonesia yang terhubung ke salah satu server BIN. Kami memiliki satu platform yang bisa mencari loop access dari berbagai tempat. Kebetulan salah satu bolongnya ada dari IP BIN, yaitu dari Kedeputian I Intelijen Luar Negeri. Kami melihat banyak kelemahan di sana.
Apa kelemahan itu?
Mereka menggunakan salah satu vendor yang lemah sekali. Mereka menggunakan hosting (layanan untuk menyimpan data di dunia maya) lokal yang juga dipakai umum. Saya tahu vendornya, pemiliknya. Saya masuk ke situ dan mempelajari. Saya kaget. Kok, keamanan data BIN lemah sekali. Setahu saya, intelijen seharusnya memakai server offline, bukan online. Apalagi kalau terkait dengan nama-nama agen, servernya seharusnya offline dan hanya bisa dibuka on-site (di tempat). Itu pun dengan menggunakan semacam two-factor authentication.
Anda orang pertama yang menembus server itu?
Saya tidak tahu menjadi orang keberapa. Bisa saja sebelumnya sudah ada orang lain yang masuk. Kalau benar begitu, tentu berbahaya sekali. Bagaimana nasib agen intelijen kita di luar negeri kalau data itu sampai jatuh ke tangan yang salah. Intelijen luar jadi bisa membaca pola kerja agen kita di luar negeri sehingga bisa diantisipasi.
Apa yang Anda lakukan setelah menemukan loop access itu?
Saya tertawa melihat melihatnya. Kok, badan intelijen bisa begini. Padahal BIN beli peralatan mahal. Saya coba memberi tahu BIN. Bagaimanapun, saya masih peduli terhadap negara saya. Tapi tidak ditanggapi.
Kepada siapa Anda memberitahukan?
Saya coba memberi tahu Wawan Purwanto (Deputi Komunikasi dan Informasi BIN). Tapi tidak ditanggapi. Dua kali saya kasih tahu. Pertama lewat Instagram. Kedua lewat WA (aplikasi pesan WhatsApp) pakai nomor privat. Saya bilang ada kebocoran data di BIN. Dia cuma bilang iya. Setelah itu tidak direspons lagi. Ini seperti kita beli nasi bungkus ada tulisan rahasia negara.
Baca berita dengan sedikit iklan, klik di sini
(Kepada sejumlah media, Wawan Purwanto membantah kebocoran data BIN. Ia menyangkal data lembaganya bocor. Wawan mengklaim data agen BIN menggunakan nama samaran. “Terenkripsi dan semua data pakai samaran.” Pada Jumat, 23 September lalu, Wawan menyatakan tak pernah menerima informasi apa pun soal kebocoran data BIN. Ia juga menyatakan tak memiliki akun Instagram. "Silakan ditunjukkan pesan WhatsApp-nya. Saya tak pernah menerima pesan WhatsApp soal kebocoran data.")
Data apa saja yang Anda dapatkan?
Nama-nama agen di kedeputian I. Lengkap dengan lokasi dan jabatannya, dari kepala sampai subdirektorat di negara lain, seperti Asia-Pasifik, Amerika, Eropa. Ada laporan pertemuan agen BIN dengan intelijen Maroko dan Sudan. Ada juga dokumen lain yang kalau saya lihat sifatnya rahasia.
Baca: Cawe-cawe BIN dalam Kepulangan Rizieq Syihab dan Kesalahan Analisis Intelijen
Tidak ada enkripsi terhadap data itu?
Bohong kalau disebut ada enkripsi. Ada data yang ditutupi dengan cara dihitamkan. Saya coba copy-paste dan ternyata bisa dibaca. Ini artinya mereka tidak menghitamkan secara offline, tapi online. Kebaca semua. Ada agen yang jadi anggota staf Kedutaan Besar RI di Amerika Serikat. Namanya juga tercantum di Panama Papers.
Kami harus memverifikasi bahwa Anda benar mendapatkan data tersebut. Bisa Anda tunjukkan?
Pemilik akun Strovian lalu menunjukkan lebih dari seratus dokumen yang didapatnya. Semua dokumen BIN bisa dibuka. Untuk memastikan data itu bukan sekadar pajangan, Tempo memilih beberapa dokumen secara acak. Salah satunya dokumen bersampul merah dengan judul “Monitoring dan Evaluasi Penataan Sistem SDM Deputi I BIN Tahun 2020” dan logo BIN di bagian atas. Dokumen lain berjudul “Roadmap Pengelolaan dan Pengembangan Sumber Daya Manusia Deputi I BIN Tahun 2020-2024”. Selain itu, ada salinan Keputusan Kepala BIN tentang Peta Proses Bisnis Badan Intelijen Negara. Tempo mencoba memeriksa semua dokumen itu di Google, tapi belum menemukannya.
Anda punya orang dalam di BIN?
Tidak ada. Kalau punya orang dalam, sama saja bunuh diri. Hati manusia bisa berubah setiap saat. Apalagi dengan uang. Kalau mereka disogok untuk mengetahui keberadaan saya, bagaimana?
Anda menjual data BIN?
Saya buka harga sekitar US$ 5.000. Iseng aja. Awalnya tidak ada yang beli. Tapi belakangan ada yang beli US$ 3.000.
Baca: 'Prank' Corona ala Badan Intelijen Negara
Anda bilang masih peduli terhadap Indonesia. Tapi kenapa Anda menjual data itu?
Saya sudah beri tahu mereka, tapi tidak ditanggapi. Artinya data ini tidak penting untuk BIN. Kalau data ini penting dan tidak boleh dilepas, akan saya tahan. Daripada nganggur, mending menghasilkan uang. Saya juga butuh pemasukan, ha-ha-ha….
Siapa pembelinya?
Saya tidak tahu. Di forum itu semuanya anonim. Tapi di luar negeri ada kolektor-kolektor yang mengumpulkan data intelijen. Namanya juga forum, semua bisa dijual. Yang valuable untuk buyer pasti dibeli.
Tidak mencoba mencari tahu?
Mereka terenkripsi semua. Perangkatnya juga.
Data apa saja yang Anda berikan?
Semuanya. Total ada 188 file. Satu bundel itu. Di dalam server itu saya tarik semua. Saya jual semua.
Ini data pertama yang Anda jual?
Saya dulu pernah menjual database Kepolisian RI yang saya tarik pada 2021. Isinya identitas 400 ribu anggota, lengkap dengan pangkat, alamat, dan nomor telepon. Bentuk SQL (Structured Query Language). Saya masih menahan data lengkap. Ada foto mereka, kartu anggota, bahkan buku nikah. Saya pilih simpan saja.
Kenapa memilih disimpan?
Kasihan kalau tersebar. Harapan saya, mereka bisa memperbaiki. Kalau ada keteledoran, diakui saja. Kalau membantah, itu namanya menantang.
Anda menjual mahal?
Cuma US$ 700.
Anda melapor juga ke Polri?
Iya. Sama seperti BIN, mereka tidak peduli. Ada maling malah dibilang hoaks.
Data apa lagi yang Anda jual?
Cuma tiga. Polri, Bea-Cukai, dan BIN.
Kalau yang Anda retas?
Perlindungan data milik lembaga negara di Indonesia lemah. Saya pernah dapat data Tentara Nasional Indonesia.
Anda jual juga?
Tidak. Saya lapor ke bagian intelijen Angkatan Darat. Sambutannya positif, jadi tidak saya jual. Ada beberapa kodam (komando daerah militer) juga yang saya kasih tahu, dan mereka juga merespons positif. Saya akhirnya bekerja sama dengan mereka. Anggaran siber mereka kecil dan dibagi untuk tiga matra. Kebanyakan yang memegang siber juga orang tua yang skill sibernya rendah.
Apa yang Anda laporkan?
Saya bilang saya tahu posisi semua prajurit dan kekuatannya. Mereka kaget. Saya juga pernah melaporkan data anggota OPM (Organisasi Papua Merdeka) yang dicari-cari TNI. Saya kasih tahu posisinya dan nomor teleponnya. Saya bisa mengakses situs kelompok Papua Merdeka.
TNI percaya?
Mereka meminta bukti dan meminta saya menulis kata tertentu di situs itu. Saya tulis beneran.
Anda dibayar ketika membantu?
Tidak. Saya kan mencoba memberi tahu mereka: “Ini lho, Pak, ada kebocoran.” Di luar negeri, kalau ada kebocoran diapresiasi. Di Indonesia, terima kasih saja tidak. Kalau orientasi saya hanya uang, semua saya jual. Tapi data Polri yang lengkap tidak saya jual.
Belakangan ramai soal peretasan yang dilakukan Bjorka. Anda kenal pemilik akunnya?
Saya tidak tahu dia siapa. Tapi saya melihat dia mencoba membuat sesuatu yang viral saat kasus besar bergulir, seperti kenaikan harga bahan bakar minyak. Kalau mau jual data, ya, jual saja. Tapi dia muncul dan membahas politik. Jadinya seperti pesanan.
Apa analisis Anda terhadap data yang dibocorkan Bjorka?
Yang dibuka itu data lama. Saya juga punya data PeduliLindungi, tahu data menteri. Tapi buat apa disebar atau dijual? Saya mempertimbangkan imbasnya. Kasihan masyarakat. Bagaimana kalau data itu sampai digunakan untuk pinjaman online?
Anda melihat ada yang istimewa dari data Bjorka?
Tidak ada. Orang Indonesia biasa dengan euforia. Makanya jadi heboh. Padahal datanya biasa saja.
Apa kesamaan dan perbedaan Anda dengan Bjorka?
Saya akui menjual data. Tapi saya tidak peduli soal politik. Dia kan politis.
Omong-omong, Anda ini siapa sebenarnya?
Bukan siapa-siapa. Hanya orang tidak berguna, ha-ha-ha….
Anda bekerja sendiri?
Tidak. Kami berempat. Tiga orang Indonesia, satu orang asing.
Semua bekerja dari luar negeri?
Tiga di luar negeri, satu di Indonesia. Saya sendiri ada di luar negeri.
Apa saja tugasnya?
Kalau yang di Indonesia hanya membantu mengecek akses. Lainnya meriset, ada juga yang mengeksekusi. Kebanyakan saya eksekusi sendiri. Setelah mereka riset, laporannya diserahkan kepada saya dan saya eksekusi.
Bagaimana rekrutmennya?
Kami kan punya kebutuhan. Selain bekerja, kami sama-sama bikin usaha yang berkaitan dengan teknologi. Kami bikin usaha cyber security.
Tahun ini sudah menyedot data apa saja?
Banyak, lah, ha-ha-ha….
Posisi Anda ada di negara mana?
Di mana aja. Di hatimu juga boleh, ha-ha-ha….
Kenapa Anda memilih bekerja di luar negeri?
Di luar lebih dihargai daripada di dalam. Mereka tidak melihat apa pendidikan atau agama kita. Yang penting apa yang kita bisa. Ada perusahaan meminta saya menunjukkan apa yang saya bisa lakukan. Lalu saya tunjukkan sistem keamanan siber mereka rentan. Setelah itu mereka hire saya untuk menjaga sistem keamanannya.
Gaji Anda besar, dong?
Ya, lumayan. Buat beli Indomie sebulan dapat, lah, ha-ha-ha….
Anda masih warga negara Indonesia?
Multiple citizenship.
Dari mana Anda belajar meretas?
Otodidak.
Sejak kapan?
Sejak 2013 saya nyebur di dunia teknologi.
Belum satu dekade….
Saya belajar dari ketidaktahuan, akhirnya jadi tahu. Saya cari solusinya. Kalau belajar di universitas, terbatas hanya itu lingkupnya. Tidak detail. Tidak mendalam.
Latar belakang pendidikan Anda teknologi informasi?
Enggak. Wong SMA aja tidak lulus. SMP itu bahasa Inggris saya merah. SMA saya sampai kelas I saja. Mau naik ke kelas II, saya keluar karena tidak betah. Ingin bekerja. Orang tua juga tidak sanggup bayar sekolah karena mahal. Saya tidak mau memberatkan orang tua. Saya jual koran juga pernah. Dari situ saya bisa beli buku. Belajar dari situ.
Anda mungkin sudah dikenali?
Saya tidak tahu. Saya kalau hubungi mereka pakai nomor anonim. Kalau pun tahu, ya, sudah, lah. Mereka tidak peduli juga sama saya. Sudah saya coba sampaikan kebocoran data. Salah dia kenapa tidak peduli.
Dari mana nama Strovian?
Ada salah satu tokoh di Eropa yang saya baca bukunya. Namanya Strovian. Itu buku lama, saya lupa judulnya. Saya suka aja nama itu.
----------
Catatan Redaksi: Artikel ini mengalami perubahan pada Sabtu, 24 September 2022, pukul 13.40. Yaitu, keterangan dari Deputi Komunikasi dan Informasi BIN Wawan Hari Purwanto. Wawan menyatakan tak pernah mendapat pesan soal kebocoran data BIN. Ia juga menyatakan tak memiliki akun Instagram.
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo