KPU, atau Komisi Pemilihan Umum, dilaporkan mengalami serangan hacker yang mengakibatkan data dari 204 juta warga Indonesia bocor dan dijual di internet. Laporan mengenai peretasan ini datang dari CISSREC. Menurut lembaga tersebut, data dari KPU tersebar oleh akun anonim yang menggunakan nama Jimbo.

Jimbo mengklaim memiliki lebih dari 200 juta data yang dijual dengan harga US$74 ribu atau sekitar Rp 1,2 miliar. Untuk memberikan bukti, Jimbo membagikan 500 data contoh melalui situs darkweb Breachforums. Selain itu, akun ini juga mengunggah beberapa tangkapan layar dari situs web Cek DPT Online milik KPU untuk memverifikasi keabsahan data yang diakses.

Pratama Persadha, Ketua Lembaga Riset Keamanan Siber CISSReC, menyatakan dalam keterangan resminya bahwa "Jimbo juga menyampaikan dalam postingan di forum tersebut bahwa data 252 juta yang berhasil dia dapatkan terdapat beberapa data yang terduplikasi. Setelah dilakukan penyaringan, terdapat 204.807.203 data unik, jumlah ini hampir sama dengan jumlah pemilih dalam DPT Tetap KPU yang berjumlah 204.807.222 pemilih dari 514 kab/kota di Indonesia serta 128 negara perwakilan."

Data yang bocor mencakup Nomor Induk Kependudukan (NIK), nomor Kartu Keluarga, nomor Kartu Tanda Penduduk (KTP), nomor paspor untuk pemilih di luar negeri, nama lengkap, jenis kelamin, tanggal dan tempat lahir, status pernikahan, alamat lengkap, RT, RW, kode kelurahan, kecamatan, kabupaten, serta kode Tempat Pemungutan Suara (TPS).

CISSReC berusaha melakukan verifikasi terhadap data yang diberikan oleh Jimbo. Hasilnya, data yang diambil dari website Cek DPT Online KPU sama persis dengan data yang diunggah oleh hacker tersebut.

Para peretas berhasil mendapatkan akses dengan menggunakan role Admin KPU melalui berbagai metode, termasuk phishing, social engineering, dan malware. Persadha menyatakan, "Pada tangkapan layar lainnya yang dibagikan oleh Jimbo, tampak sebuah halaman website KPU yang kemungkinan berasal dari halaman dashboard pengguna. Dengan adanya tangkapan layar tersebut, kemungkinan besar Jimbo berhasil mendapatkan akses login dengan role Admin KPU dari domain sidalih.kpu.go.id menggunakan metode phishing, social engineering, atau melalui malware."

Serangan terhadap KPU ini menunjukkan bahwa keamanan siber di Indonesia perlu diperkuat. Selain langkah-langkah teknis, perlindungan terhadap data pribadi warga perlu ditingkatkan untuk mencegah penyalahgunaan informasi yang dapat membahayakan masyarakat.