Bjorka & 279 Juta Data BPJS Kesehatan (2022)
PELAKU
Aktor anonim yang muncul Agustus 2022 dengan klaim leak 1.3 miliar data registrasi SIM card Indonesia, lalu KPU (105 juta DPT), IndiHome (26 juta), MyPertamina, dan korespondensi pejabat negara. Atribusi tidak pernah tuntas — kombinasi hacktivism, doxxing pejabat, dan jualan data di Breached Forums.
METODE
Aktor membeli/scrape dump data publik, lalu menjual ulang di forum dark web sebagai "fresh leak" dengan harga premium. Bjorka, beberapa channel Telegram ID, dan reseller BreachForums beroperasi di model ini.
Akun "Kotz" (kemudian dikaitkan dengan ekosistem Bjorka) menjual 279 juta data BPJS Kesehatan di Raid Forums: NIK, nama, alamat, nomor telepon, gaji, riwayat kepesertaan. Jumlah melebihi populasi Indonesia karena database menyimpan WNI meninggal sejak BPJS berdiri. Vektor diduga akses staf IT pihak ketiga.
Konteks Operasional
Incident ini melibatkan eksfiltrasi massal data sensitif BPJS Kesehatan melalui akses sistem pihak ketiga. Data mencakup 279 juta record termasuk NIK, riwayat kesehatan, dan informasi finansial yang diperdagangkan di underground forum. Uniknya, dataset mengandung historical records melebihi populasi aktual, menunjukkan database menyimpan data pasien yang telah meninggal selama periode operasional BPJS.
Vektor Awal & Lateral Movement
Entry point diduga melalui compromised credentials staf IT vendor outsourcing. Pelaku memanfaatkan:
- Valid vendor account dengan akses legitimate ke sistem BPJS
- Absence of session monitoring untuk aktivitas bulk data query
- Direct database connection tanpa network segmentation antara sistem vendor dan core database
Lateral movement minimal karena akses langsung ke repositori data sentral. Tidak ditemukan evidence penggunaan teknik privilege escalation.
Pivot Yang Sering Diabaikan Defender
Tim blue team biasanya fokus pada:
- Perimeter security untuk external threat actors
- Insider threat dari karyawan langsung
Namun pada kasus ini, ancaman berasal dari:
- Third-party maintenance account tanpa MFA
- Historical data retention policy yang tidak di-enforce
- Lack of data access behavior baseline untuk vendor
Pelajaran untuk Tim Indonesia
- Third-party access governance: Implementasikan Zero Trust Architecture untuk vendor dengan just-in-time access
- Data lifecycle management: Enforce automatic purging untuk data non-aktif sesuai retention policy
- Behavioral analytics: Bangun baseline normal activity pattern untuk semua service account
- Credential hygiene: Rotasi mandatory credential untuk semua third-party setiap 90 hari
Indikator Detection Yang Bisa Dipasang Besok
- Sigma rule: Deteksi query SQL dengan klausa SELECT melebihi threshold 500.000 rows dari IP non-whitelist
- EDR alert: Proses vendor tool yang melakukan koneksi network ke eksternal IP setelah mengakses database
- SIEM correlation: Multiple failed login attempts diikuti successful login dari geo-location berbeda dalam window 15 menit
- DLP policy: Flagging export data dalam format .csv/.sql melebihi 1GB dari workstation vendor
Tim IR + forensik kami standby 24/7. Audit cepat 30 menit, gratis, NDA-ready.
TIMELINE
PELAJARAN UNTUK TIM ANDA
- Tokenize NIK di tabel operasional, simpan NIK plaintext hanya di vault terisolasi
- Rotasi credential pihak ketiga maksimal 90 hari
- Egress monitoring volume — alert jika >100MB ke IP non-whitelist
- Hapus PII WNI meninggal sesuai UU PDP setelah 5 tahun
- Bug-bounty publik dengan SLA payout 30 hari
SUMBER
JANGAN JADI BARIS BERIKUTNYA DI ARSIP INI
Setiap heist di sini dimulai dengan kelemahan yang masih ada hari ini. Kami petakan kelemahan Anda sebelum yang tak diundang menemukannya duluan.
DISKUSI (0)
Belum ada komentar. Jadi yang pertama bagikan analisis Anda.