Ketua KPU RI Hasyim Asy’ari angkat bicara soal dugaan 204 juta data pemilih Pemilu 2024 yang dikelola lembaganya dicuri oleh peretas dan dijual di forum hacker. Hasyim mengatakan, daftar pemilih tetap (DPT) sebenarnya tidak hanya dimiliki oleh KPU RI. Dia menjelaskan, data DPT Pemilu 2024 dalam bentuk soft copy tidak hanya berada di data center KPU. Data tersebut juga dipegang oleh banyak pihak. “Karena memang UU Pemilu mengamanatkan kepada KPU untuk menyampaikan DPT soft copy kepada partai politik peserta Pemilu 2024 dan juga Bawaslu,” kata Hasyim kepada wartawan lewat keterangan tertulisnya di Jakarta, Rabu (29/11/2023). Kendati begitu, dia melanjutkan, tim KPU bersama Gugus Tugas Keamanan Siber sedang bekerja menelusuri atau menginvestigasi kebenaran dugaan kebocoran data pemilih tersebut. Gugus tugas terdiri atas Badan Siber Sandi Negara (BSSN), Cybercrime Polri, Badan Intelijen Negara (BIN), dan Kemenkominfo.
Terpisah, Komisioner KPU RI Idham Holik menyebut, investigasi diperlukan untuk membuktikan klaim peretasan data pemilih tersebut. Dia lantas mengungkit kasus dugaan peretasan data pemilih oleh Bjorka pada 2022, tapi belakangan terbukti tidak benar. “Data yang dipublikasikan oleh Bjorka bukan file data Pemilih Serentak 2019 ataupun 2024,” kata Idham kepada wartawan. Idham mengaku, yakin semua sistem informasi KPU terlindungi dan aman. Pasalnya, semua sistem informasi yang dikelola oleh KPU telah tersertifikasi oleh Kemenkominfo. “Semua sistem informasi tersebut dilengkapi atau diproteksi dengan firewall yang dapat diandalkan,” ujarnya. Sebelumnya, peretas dengan nama anonim Jimbo mengunggah data pemilih yang diklaimnya hasil peretasan terhadap situs KPU. Jimbo mengunggah data tersebut di forum jual-beli hasil peretasan, BreachForums, Senin (27/11/2023).
Jimbo mengaku berhasil mendapatkan 252 juta data pemilih yang sebagian di antaranya terduplikasi. Jimbo kemudian melakukan penyaringan sehingga mendapatkan 204.807.204 data unik, hampir sama dengan jumlah pemilih dalam DPT. Dalam unggahannya, Jimbo turut membagikan 500 ribu data sebagai sampel untuk menarik pembeli. Dia juga membagikan tangkapan layar laman https://cekdptonline.kpu.go.id/ sebagai bukti bahwa data yang didapatkannya itu valid. Dalam data sampel tersebut tampak beberapa informasi pribadi bersifat penting. Di antaranya adalah NIK, nomor KK, nomor KTP, nomor paspor untuk pemilih di luar negeri, nama lengkap, jenis kelamin, tanggal lahir, tempat lahir, status pernikahan, alamat lengkap, RT, RW, kodefikasi kelurahan, kecamatan dan kabupaten, serta kodefikasi TPS. Jimbo menawarkan data pemilih Pemilu 2024 itu kepada pembeli seharga 74 ribu dolar AS atau sekitar Rp 1,2 miliar. Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadan mengatakan, Jimbo turut membagikan tangkapan layar website KPU yang kemungkinan adalah tampilan dashboard admin. Menurut Pratama, Jimbo kemungkinan besar berhasil mendapatkan akses login admin KPU dari domain sidalih.kpu.go.id menggunakan metode phising, social engineering, atau melalui malware. “Dengan memiliki akses dari salah satu pengguna tersebut Jimbo mengunduh data pemilih serta beberapa data lainnya,” kata Pratama.