Feed on
Posts
Comments

Tergelitik ingin membahas terkait beredarnya Data Penduduk Indonesia khususnya data penduduk se-Provinsi DIY yang berasal dari DPT Pemilu 2014 di forum underground. Menanggapi kicauan (media social) dan pernyataan Komisioner KPU Viryan Azis di berbagai media seperti di kompas (1) dan (2), di detik (1) dan di blog pribadinya saya akan mencoba membeberkan temuan saya sebagai salah satu pengguna internet yang sempat mendownload keseluruhan dokumen yang diupload oleh pelaku di forum tersebut, dan kebetulan saya memang cukup memahami bagaimana melakukan forensik digital atau analisis terhadap dokumen-dokumen tersebut.

Informasi beredarnya Data Penduduk Indonesia diketahui awalnya dari akun Twitter underthebreach pada 21 Mei 2020 seperti berikut :

Twitter Akun underthebreach juga memposting gambar sumber data yang diperolehnya yakni dari sebuah postingan di forum Underground per tanggal 20 Mei 2020, forum ini beberapa waktu lalu juga sudah pernah mempublikasikan data pengguna Tokopedia dan Bukalapak seperti berikut:

Kemudian dalam waktu tidak lama media mencoba meliput dan mulai mempertanyakan kebenaran data tersebut kepada KPU. Dan KPU sepertinya tanpa melakukan verifikasi secara komprehensif langsung membantah jika data pemilu tersebut tidaklah bocor, tetapi data tersebut bersifat publik. Seperti pernyataan Komisioner KPU Viryan Azis di berbagai media seperti di kompas (1) dan (2), di detik (1) dan di blog pribadinya.

Saya akan membahas lebih detil satu persatu bagian dengan mengutip pernyataan Komisioner KPU di blog pribadinya, karena tampaknya pernyataannya diblog tersebut lebih lengkap daripada yang ada di media kompas/detik atau social media lainnya. Sebenarnya saya juga sudah membahas di status FB saya pada hari informasi di twitter tersebut beredar. Bisa dibaca di sini:

Judul postingan di Blog Pribadi Komisioner KPU Viryan Azis diposting per 23 Mei 2020 seperti berikut:

Sang Komisioner tersebut berkesimpulan sesuai judul bahwa DPT Pemilu 2014 tidak bocor, alasannya akan saya bahas dibawahnya :

Mau benaran hanya 187jt atau 200jt bagi saya yang data pribadinya ada disana tidak ada bedanya Pak Komisioner KPU !!!. Hacker atau Leaker sering sengaja melebih-lebihkan informasinya agar mencari perhatian, tidak perlu dikomentari bagian yang belum dileaked, tetapi jika memang data ternyata itu ada (entah 187/200jt), harusnya sang komisioner harus lebih berhati hati, bukan malah langsung membantah jika data itu pasti tidak benar tanpa melakukan investigasi menyeluruh secara professional. Yang menggelikan, sang komisioner belum tahu seperti apa data yang di leaked tetapi sudah mengklaim bahwa data itu adalah data terbuka untuk publik. Sejak kapan data pribadi berupa plain NIK/KK/Tgl Lahir/alamat/status data penduduk 2.3 juta se-provinsi DIY merupakan data terbuka ? Dasar hukumnya apa? UU Adminduk (2006) menyatakan itu data pribadi yang harus dijaga kerahasiaannya.

Detilnya saya saya kutipkan berikut ini :

Adapun mengenai data pribadi, pengertiannya dapat ditemukan dalam Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (“UU Adminduk”) sebagaimana yang telah diubah dengan Undang-Undang Nomor 24 Tahun 2013 tentang Perubahan Atas Undang-Undang Nomor 23 Tahun 2006 tentang Administrasi Kependudukan (“UU 24/2013”). Pasal 1 angka 22 UU 24/2013 berbunyi:   Data Pribadi adalah data perseorangan tertentu yang disimpan, dirawat, dan dijaga kebenaran serta dilindungi kerahasiaannya.Perlindungan atas Privasi dan Data Pribadi Masyarakat Secara konstitusional, Negara melindungan privasi dan data penduduk masyarakat. Pasal 28G ayat (1) Undang-Undang Dasar Negara Republik Indonesia Tahun 1945(“UUD 1945”) berbunyi:

Setiap orang berhak atas perlindungan diri pribadi, keluarga, kehormatan, martabat, dan harta benda yang di bawah kekuasaannya, serta berhak atas rasa aman dan perlindungan dari ancaman ketakutan untuk berbuat atau tidak berbuat sesuatu yang merupakan hak asasi. Senada dengan Pasal 28G ayat (1) UUD 1945, Pasal 2 UU Adminduk mengatur bahwa:   Setiap Penduduk mempunyai hak untuk memperoleh:

  1. Dokumen Kependudukan;
  2. pelayanan yang sama dalam Pendaftaran Penduduk dan Pencatatan Sipil;
  3. perlindungan atas Data Pribadi;
  4. kepastian hukum atas kepemilikan dokumen;
  5. informasi mengenai data hasil Pendaftaran Penduduk dan Pencatatan Sipil atas dirinya dan/atau keluarganya; dan
  6. ganti rugi dan pemulihan nama baik sebagai akibat kesalahan dalam Pendaftaran Penduduk dan Pencatatan Sipil serta penyalahgunaan Data Pribadi oleh Instansi Pelaksana.

Data yang leaked memang rata rata formatnya PDF, tetapi dari analisa forensik digital yang saya lakukan terhadap metadata sebagian besar dokumen yang leaked, umumnya data tersebut berasal atau didownload dari aplikasi web KPU yakni pdf.kpu.go.id. Silahkan perhatikan data data berikut yang saya cuplik dan tunjukkan metadatanya

Bahkan beberapa filename data berformat pdf masih menggunakan title yang berasal dari page HTML yang menunjukkan berasal dari situs pdf.kpu.go.id seperti ditunjukkan dibawah ini. File file pdf ini di produce atau dihasilkan dari web pdf.kpu.go.id menggunakan tools/plugin wkhtmltopdf diwebsitenya.

Jika ingin ditelusuri, apakah website pdf.kpu.go.id benar ada pada saat dokumen tersebut di download? Jawabnya Ya, bisa kita lihat dari screenshoot archive.org berikut ini :

Meskipun saat ini Web pdf.kpu.go.id sudah tidak aktif, tetapi berdasarkan halaman archive tersebut terdeteksi bahwa situs pdf.kpu.go.id memang pernah aktif pada periode 2012, 2013, 2017. Ada history rekaman archive pada bulan November 2013 pada saat dokumen dokumen tersebut di download.

Saya juga membandingkan dengan dokumen DPT/DPS lain yang diproduksi oleh aplikasi tersebut yang beredar diinternet. Seperti hasil pencarian dibawah ini contoh salah satu DPT dari kota kelahiran saya.

Silahkan menilai sendiri benar tidaknya kesimpulan kedua dari sang Komisioner KPU tersebut.

Alasan ketiga diatas sebenarnya sudah terjawab dari analisa metadata sebelumnya. Tetapi saya coba ulas data lainnya, selain dari web pdf.kpu.go.id, data tersebut juga tampaknya berasal dari data export/import aplikasi SIDALIH (milik KPU!!). Berikut beberapa metadata dokumen lainnya :

Adakah Petunjuk Lainnya ?

Berikut informasi petunjuk lain yang mungkin perlu diketahui oleh pihak pihak yang membutuhkan keperluan Investigasi asal usul dokumen tersebut.

Saya kebetulan menyempatkan untuk melakukan pemeriksaan secara forensik digital keseluruhan dokumen yang saya peroleh dengan tools yang saya miliki, Ada beberapa hal menarik yang perlu nanti dikonfirmasi atau diklarifikasi oleh pihak yang muncul di artikel ini. Saya tidak bermaksud menuduh atau mengkaitkan, tetapi ini adalah hasil temuan saya yang berasal dari hasil download dokumen yang leaked tersebut.

Ada dokumen yang tidak lumrah atau mencurigakan tersisipkan pada sebuah folder DPT disalah satu kecamatan di Bantul. Selain ukuran dan metadata (modified timenya) berbeda (jika lainnya pada tanggal 8 November 2013, file satu ini modified datenya berbeda sendiri yakni pada tanggal 14 November 2013), ternyata setelah ditulusuri headernya juga berbeda dengan lainnya.

Jika header file TPS lainnya di folder tersebut merupakan hasil download dari web pdf.kpu.go.id, tetapi file TPS 50.pdf ini beda sendiri, seperti ditunjukkan gambar berikut.

TPS lainnya (contoh TPS 49.pdf) menggunakan title pdf.kpu.go.id (wkhtmltopdf)
View TPS 49.pdf (Banguntapan Bantul) dan TPS lainnya
View TPS 50.pdf (beda sendiri dengan TPS yang lain)
Metadata File DPT 50.pdf (beda dengan lainnya)

Dari metadata tersebut diperoleh informasi jika Dokumen hasil Producer dari Microsoft Office Excel 2007, dengan Author DWI RIYANTO Y, SE. http://www.facebook.com/khrisna.dewa; KPU NGANJUK, JATIM

Dari hasil penelusuran di internet nama Author tersebut, diperoleh profil yang benar terkait nama tersebut yakni merupakan STAFF Bagian Program dan Data KPU Nganjuk.

Yang perlu ditelururi dan diklarifikasi adalah, kenapa metadata aplikasi Microsoft Office dari KPU Nganjuk bisa muncul pada data DPT Provinsi DIY Kabupaten Bantul / Kecamatan Banguntapan? Apakah memang setiap Anggota KPU didaerah lain dapat mengakses DPT daerah lain ? Apakah tidak ada Access Control yang dilakukan oleh KPU di level aplikasinya?

Saya juga menelusuri dokumen dokumen yang beredar di internet yang menggunakan metadata yang sama. Ternyata memang Metadata tersebut juga ada pada banyak dokumen DPT dari daerah lain (Bukan hanya Provinsi DIY, tetapi beberapa daerah di jawa timur (Bukan Nganjuk)) juga terdeteksi menggunakan Metadata tersebut. Contohnya dari URL berikut https://ziladoc.com/downloadFile/aplikasi-daftar-pemilih-by-khrisna-dewa_pdf

Sebenarnya masih banyak lagi hal yang menarik atau keganjilan pada dokumen yang dileaked oleh pelaku upload data Penduduk DIY tersebut. Semoga nanti ada waktu untuk mengulasnya. Semoga bermanfaat.

One Response to “Benarkah DPT Pemilu 2014 tidak bocor? Adakah petunjuk yang dapat digunakan untuk menelusuri pelaku atau sumber datanya?”

  1. Imam Suharjo says:

    Saya setuju hal seperti ini tadak dibiarkan.
    Pemerintah yang paham IT menaganin keamanan informasi dan juga paham masalah privasi harusnya itu mengusut.
    Klu cuma dibiarkan akan jadi pengamalan buruk yang membekas seumur hidup, kecuali seseorang Ganti Nama. (namanya baru tidak akan tersebar hahaha..)

Leave a Reply