TRIBUNJATENG.COM, SEMARANG – Kasus pembobolan 1,2 juta data Nomor Induk Kependudukan (NIK) milik warga miskin penerima bantuan sosial (bansos) di Jawa Tengah mengungkap lemahnya pengamanan data pribadi di lingkungan pemerintah daerah.
Dari aksi tersebut, pelaku diketahui meraup keuntungan hingga Rp180 juta setelah menggunakan data hasil curian untuk registrasi kartu SIM baru.
Pelaku bernama Rahmat Nugroho, seorang teknisi gawai asal Bekasi, Jawa Barat. Fakta tersebut terungkap dalam persidangan yang telah berlangsung di Pengadilan Negeri Serang, Banten.
Berdasarkan hasil persidangan, peretasan bermula pada April 2025 saat Rahmat menemukan celah keamanan pada situs Data Terpadu milik Dinas Sosial (Dinsos) Jawa Tengah yang beralamat di dtjateng.dinsos.jatengprov.go.id.
Baca juga: LP2K Desak Pemprov Jateng Buka Desk Aduan Kebocoran Data NIK Penerima Bansos
Baca juga: Disdukcapil Wonosobo: Aktivasi IKD Bakal Jadi Pintu Masuk Verifikasi Bansos
Celah tersebut dimanfaatkan untuk mengakses dan menyedot sekitar 1,2 juta data NIK penerima bansos di Jawa Tengah.
Data yang berhasil dicuri kemudian digunakan untuk mengaktifkan kartu SIM baru. Dari praktik tersebut, Rahmat disebut memperoleh keuntungan mencapai Rp180 juta sebelum akhirnya aksinya terendus aparat.
Kasus itu baru berhasil dihentikan setelah Tim Patroli Siber Polda Banten melakukan penelusuran dan mengungkap aktivitas pelaku pada 27 Januari 2026.
Di tengah mencuatnya kasus tersebut, Pemerintah Provinsi Jawa Tengah melalui Dinas Komunikasi, Informatika, dan Digital (Diskomdigi) memberikan penjelasan mengenai titik lemah yang dimanfaatkan pelaku.
Kepala Diskomdigi Jawa Tengah, Lilik Henry Ristanto, mengatakan peretas tidak membobol pusat data atau server yang berada di bawah pengelolaan Diskomdigi.
Menurutnya, celah keamanan berada pada aplikasi yang dikembangkan dan dikelola oleh Dinas Sosial Jawa Tengah.
"Peretas tidak perlu ke Komdigi, langsung ke aplikasi Dinsos," kata Lilik saat ditemui di Semarang, Kamis (16/7/2026).
Ia menjelaskan, server aplikasi memang ditempatkan di pusat data milik Diskomdigi melalui mekanisme colocation server.
Namun, pengelolaan aplikasi beserta sistem keamanannya sepenuhnya menjadi tanggung jawab Dinsos Jawa Tengah.
"Iya, colocation server, data servernya ada di data center kami, tapi pengelolaannya ada di Dinsos," ujarnya.
Karena hanya menyediakan infrastruktur server, Diskomdigi mengaku tidak mengetahui detail data yang tersimpan dalam aplikasi tersebut maupun prosedur pengamanan yang diterapkan oleh pengelola aplikasi.
Lilik mengatakan pihaknya baru mengetahui adanya insiden tersebut setelah menerima notifikasi dari Badan Siber dan Sandi Negara (BSSN) pada 20 Februari 2026.
Selain itu, Diskomdigi juga menerima laporan dari Dinsos Jawa Tengah terkait dugaan kebocoran data.
Menindaklanjuti laporan tersebut, pada 25 Februari 2026 pihaknya meminta pendampingan dari BSSN untuk melakukan penanganan pasca-insiden.
"Kami juga mendapatkan laporan dari Dinsos, lalu pada 25 Februari kami meminta bantuan BSSN untuk melakukan pendampingan pasca-insiden tersebut," jelasnya.
Saat ditanya mengenai tanggung jawab atas kebocoran data pribadi tersebut, Lilik menegaskan bahwa pengelolaan aplikasi berada di bawah kewenangan Dinsos.
Namun demikian, ia menyebut Dinsos juga merupakan korban dalam kasus peretasan tersebut.
"Dinsos juga sudah melakukan SOP begitu dinotif dan disadari adanya peretasan. SOP-nya dia melapor. Karena dia tidak memiliki instrumen keamanan siber sebagaimana di BSSN," katanya.
Sebagai langkah mitigasi, Diskomdigi kemudian memperkuat sistem keamanan digital pada lebih dari 400 domain website milik sekitar 50 organisasi perangkat daerah (OPD) di lingkungan Pemerintah Provinsi Jawa Tengah.
Menurut Lilik, penguatan keamanan tersebut dilakukan agar insiden serupa tidak kembali terjadi, terutama pada aplikasi yang menyimpan data pribadi masyarakat seperti NIK, nomor kartu keluarga, dan data sensitif lainnya.
Ia meminta seluruh OPD secara berkala melakukan patroli siber dan segera melaporkan apabila menemukan aktivitas mencurigakan pada sistem yang mereka kelola.
"Segera melaporkan jika ada tanda-tanda yang tidak lazim. Apakah website-nya begitu di-enter tahu-tahu muncul popup yang terindikasi website seperti judi online misalnya, segera dilaporkan," ujarnya.
Dinsos Akui Kebocoran Data
Sementara itu, Dinas Sosial Jawa Tengah mengakui adanya kebocoran data tersebut. Kepala Bidang Penanganan Fakir Miskin Dinsos Jawa Tengah, Elliya Ch, menyebut pihaknya telah melakukan sejumlah langkah pencegahan agar kejadian serupa tidak terulang.
Menurut Elliya, saat ini yang dapat dilakukan instansinya adalah memperkuat sistem keamanan dan melakukan langkah-langkah preventif untuk mengurangi risiko kebocoran data di masa mendatang.
Namun pengakuan tersebut justru memunculkan kritik dari kalangan pemerhati konsumen.
Ketua Lembaga Pembinaan dan Perlindungan Konsumen (LP2K) Jawa Tengah, Abdun Mufid, menilai pemerintah daerah harus lebih terbuka kepada masyarakat terkait insiden kebocoran data tersebut.
Ia mendesak Dinsos dan Diskomdigi membuka layanan pengaduan khusus bagi masyarakat yang merasa dirugikan akibat penyalahgunaan data pribadi mereka.
"Komdigi dan Dinsos harus membuka semacam desk aduan agar dari kasus kebocoran data ini masyarakat yang merasa dirugikan bisa segera melaporkan," katanya.
Menurut Abdun, kebocoran 1,2 juta data NIK menunjukkan lemahnya perlindungan data pribadi yang dilakukan pemerintah daerah. Padahal, perlindungan data pribadi telah diatur secara tegas dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi.
Ia menilai masyarakat sebagai pemilik data berhak mendapatkan penjelasan yang transparan mengenai insiden tersebut, termasuk langkah-langkah yang telah dan akan dilakukan pemerintah untuk meminimalkan dampaknya.
"Masyarakat pemilik data atau konsumen seharusnya bisa meminta kejelasan dan pertanggungjawaban pemerintah selaku pengendali data pribadi tersebut," ujarnya.
Abdun juga menilai Pemprov Jawa Tengah sejauh ini masih terlihat pasif dalam memberikan informasi kepada publik. Menurutnya, pemerintah seharusnya tidak hanya menjelaskan penyebab kebocoran data, tetapi juga menyediakan pendampingan teknis dan hukum bagi warga yang terdampak.
"Hal itu perlu mitigasi agar tidak ada kerugian masyarakat sebagai konsumen yang datanya telah diambil oleh peretas," katanya.
Apabila pemerintah tidak memberikan respons yang memadai, Abdun menyebut masyarakat dapat mengadukan persoalan tersebut ke Ombudsman untuk menilai ada tidaknya dugaan maladministrasi dalam pengelolaan data pribadi. (Iwan Arifianto)