Maklumat peribadi yang terdedah adalah melibatkan seramai 4 juta rakyat Malaysia.
Data Orang Kuching Dan Serian Hampir Tergadai, Pangkalan Data JPN Disyaki Bocor Dan Dijual Di Dark Web. Data peribadi adalah sesuatu yang sulit dan boleh dimanipulasi untuk tujuan jahat sekiranya sampai ke tangan orang yang tidak bertanggungjawab. Hari ini, laman teknologi Lowyat.NET mendedahkan bahawa data peribadi sejumlah 4 juta rakyat Malaysia daripada pangkalan data Jabatan Pendaftaran Negara (JPN) telah dibocorkan ke sumber yang tidak selamat.
Data tersebut melibatkan maklumat peribadi individu yang lahir daripada tahun 1979 sehingga 1998 dan didapati telah disenaraikan untuk jualan di forum marketplace yang terkenal di laman gelap (dark web). Hasil semakan portal tempatan, SAYS, yang berjaya menembusi laman forum tersebut menggunakan virtual private network (VPN), mereka melaporkan bahawa data penduduk Kuching dan Serian hampir tergadai namun permintaan pelanggan ditolak oleh si penjual kerana mahu menjualnya dalam bentuk pukal.
Penjual yang memuatnaik senarai tersebut memberitahu bahawa data tersebut diperolehi daripada laman sesawang Lembaga Hasil Dalam Negeri (LHDN) melalui Application Programming Interface (API) yang dibangunkan untuk platform myIDENTITY.
Repositori berpusat Malaysia terdedah ancaman, berjaya digodam dan dicuri
Untuk pengetahuan anda, myIDENTITY adalah sebuah platform perkongsian data sektor kerajaan yang mula beroperasi pada Jun 2012 dan membolehkan agensi kerajaan untuk memperoleh data peribadi seseorang individu daripada repositori berpusat. Terdapat 10 agensi yang kini sedang mengguna pakai repositori ini termasuklah JPN, LHDN, Suruhanjaya Pilihan Raya (SPR), Jabatan Pengangkutan Jalan (JPJ) dan sebagainya.
Walau bagaimanapun, laman sesawang myIDENTITY tidak lagi dapat diakses sewaktu artikel ini ditulis.
Mula disedari oleh penganalisis godaman tempatan di Twitter
Penjualan ini telah didedahkan oleh seorang penganalisis godaman tempatan, Adnan Shukor semalam melalui satu rajutan di Twitter nya. Menurutnya, sejumlah besar identiti peribadi rakyat Malaysia telah terdedah seperti nama penuh, nombor kad pengenalan, alamat surat-menyurat dan alamat tetap, nombor telefon, dan alamat emel.
Bukan itu sahaja, data yang dijual itu juga mempunyai imej yang telah dikumpul berdasarkan tahun lahir yang bermula dari tahun 1979 sehingga 1998. Malah, identiti individu yang ‘dicuri’ turut mengandungi maklumat penting seperti jantina, bangsa, dan agama dalam 19 fail yang berlainan.
Sebuah gambar sampel pangkalan data seramai 60 orang individu turut ditunjukkan oleh penjual tersebut. Berdasarkan semakan SAYS, mereka mendapati bahawa alamat yang dipaparkan dalam gambar sampel itu merupakan alamat sebenar yang wujud di Malaysia dan bukan rekaan semata-mata.
Data yang diperolehi oleh penggodam itu juga lengkap dengan status sama ada akaun individu itu aktif atau tidak. Malah, bagi mengesahkan kesahihan pangkalan data yang dicuri tersebut, penjual turut melengkapkannya dengan satu set teks JSON.
Data 4 juta rakyat Malaysia dijual dengan harga RM 35,723.45
Penjual tersebut meletakkan tanda harga mata wang kripto, 0.2 BTC (bitcoin) untuk data peribadi yang bersaiz 31.8 GB. Jika berdasarkan pasaran bitcoin setakat jam 5.00 petang hari ini, jumlah jualan ini bersamaan dengan RM 35,723.45!
Penjualan menggunakan matawang kripto adalah sesuatu yang lazim dalam kalangan urus niaga jenayah siber kerana para penggodam boleh melaksanakan jenayah mereka dengan ‘selamat’ dan menerima pembayaran tanpa dikesan.
Individu sama jual data yang digodam melalui SPR Februari lalu
Walau bagaimanapun, kebocoran siber ini bukanlah kali pertama berlaku memandangkan penjual dengan nama “nudubota” itu merupakan individu yang sama dalam sindiket penjualan pangkalan data yang dicuri daripada laman sesawang e-dagang tempatan dan Suruhanjaya Pilihan Raya (SPR). Kedua-dua pangkalan data ini telah dimuat naik untuk dijual pada bulan Februari lalu tanpa menyebut berapa harga yang ditawarkan.
Berdasarkan profil, penjual ini dipercayai berada di Puchong, Selangor.
Sehingga kini, JPN mahupun LHDN masih belum mengeluarkan sebarang kenyataan rasmi berkenaan insiden ini. Sekiranya benar, pihak berwajib harus menyiasat perkara ini dengan kadar segera bagi mencegah data peribadi rakyat Malaysia tidak jatuh ke tangan orang yang salah sebelum ia nya benar-benar terlambat.
***Perkembangan terkini
Pihak polis mengesahkan telah menerima satu laporan polis berkaitan kebocoran maklumat peribadi rakyat Malaysia yang diperolehi daripada Jabatan Pendaftaran Negara. Sehubungan itu, Pengarah Jabatan Siasatan Jenayah Komersial Bukit Aman, Datuk Kamarudin Mat Din memberitahu bahawa mereka telah membuka satu kertas siasatan hari ini di bawah Seksyen 420 Kanun Keseksaan, Seksyen 4(1) Akta Jenayah Komputer 1997 bagi mencari tahu sama ada perbuatan tersebut benar-benar melalui penggodaman atau sebaliknya.
Laporan polis telah dibuat oleh Timbalan Pengarah JPN di Balai Polis Presint 7, Putrajaya semalam, 27 September. Pihak polis juga akan menyiasat sistem JPN dan LHDN untuk menyiasat punca kebocoran data peribadi awam tersebut.
