Data 40 Juta Pemilih Diretas Hacker dan Tak Terdeteksi Selama 1 Tahun, Pengawas Pemilihan Inggris Minta Maaf

LONDON – Pengawas pemilihan Inggris mengakui pada Selasa (8/8/2023) jika 'hacker' atau peretas telah mengakses data 40 juta pemilih yang tidak terdeteksi selama setahun dan publik tidak diberi tahu selama 10 bulan kemudian.

Peretas itu berhasil memperoleh rincian data tentang puluhan juta pemilih Inggris dalam "serangan dunia maya kompleks" di Komisi Pemilihan yang tidak terdeteksi selama lebih dari setahun.

Badan itu mengatakan "aktor yang bermusuhan" pertama kali meretas pada Agustus 2021, mendapatkan akses ke sistem berbagi file dan emailnya serta mendapatkan salinan daftar pemilih, tetapi "aktivitas mencurigakan" tidak teridentifikasi hingga Oktober 2022.

"Kami tidak tahu siapa yang bertanggung jawab atas serangan itu," kata komisi itu, dikutip Financial Times. Komisi menambahkan bahwa tidak ada kelompok atau individu yang mengklaim peretasan tersebut.

Komisi itu mengatakan "sulit untuk secara akurat memprediksi angka" untuk berapa banyak data orang yang telah terpengaruh, tetapi diperkirakan daftar setiap tahun berisi rincian "sekitar 40 juta orang". Itu kemungkinan menjadikannya salah satu pelanggaran data terbesar di Inggris, yang diukur dengan jumlah orang yang informasinya dicuri.

Masih belum jelas apakah Pusat Keamanan Siber Nasional, cabang pertahanan dari badan intelijen sinyal GCHQ, yang menyelidiki serangan itu, telah mengidentifikasi pelakunya.

NCSC mengatakan telah memberikan komisi "nasihat dan dukungan ahli untuk membantu pemulihan mereka setelah insiden dunia maya pertama kali diidentifikasi", menambahkan bahwa "mempertahankan proses demokrasi Inggris adalah prioritas".

Daftar yang dilanggar termasuk nama, alamat rumah, dan tanggal seseorang mencapai usia pemungutan suara dari semua orang yang mendaftar untuk surat suara antara 2014 dan 2022, serta rincian pemilih di luar negeri. Data orang yang mendaftar untuk pemungutan suara secara anonim tidak diakses.

Peretasan tersebut adalah yang terbaru dari serangkaian insiden keamanan dunia maya yang memengaruhi sektor publik tahun ini. Beberapa organisasi lokal dan nasional terjebak dalam serangan ransomware bulan Maret terhadap grup outsourcing Capita, sementara yang lain terkena peretasan besar-besaran oleh geng Clop berbahasa Rusia pada Juni lalu, yang mengeksploitasi kerentanan dalam layanan transfer file MOVEit.

Komisi tersebut meminta maaf kepada mereka yang terkena dampak dan mengatakan menyesali kurangnya perlindungan yang memadai. Namun komisi itu bersikeras bahwa ada sedikit risiko peretas dapat mempengaruhi hasil pemungutan suara atau menyamar sebagai pemilih individu

Namun, dikatakan bahwa data tersebut dapat dicocokkan dengan informasi lain di domain publik dan digunakan untuk menyimpulkan pola perilaku atau untuk mengidentifikasi dan membuat profil orang.

Shaun McNally, kepala eksekutif Komisi Pemilu, mengatakan serangan itu "menyoroti bahwa organisasi yang terlibat dalam pemilu tetap menjadi target, dan harus tetap waspada terhadap risiko proses seputar pemilu kita".

“Proses demokrasi Inggris tersebar secara signifikan dan aspek-aspek utamanya tetap didasarkan pada dokumentasi dan penghitungan kertas,” terangnya.

“Ini berarti akan sangat sulit menggunakan serangan dunia maya untuk memengaruhi prosesnya,” lanjutnya.

Namun, seorang pejabat senior keamanan dunia maya barat membuat sketsa "skenario mimpi buruk" di mana peretas merusak versi daftar pemilih yang dapat mereka akses.

“Bagaimana jika ada perselisihan antara gulungan yang dipegang oleh badan yang berbeda? Memang benar kami tidak memiliki pemungutan suara elektronik, tetapi ada cara untuk menyebabkan kekacauan dan kurangnya kepercayaan,” ujarnya.

Pemilu Inggris dikelola oleh otoritas lokal tetapi komisi tersebut mengatakan bahwa pihaknya telah menyimpan "salinan referensi" dari daftar pemilih untuk tujuan penelitian dan untuk memungkinkan pemeriksaan izin atas sumbangan politik.

Pengawas mengatakan peretas juga memiliki akses ke sistem email komisi dan "sistem kontrol".

Ini berarti alamat email dan nomor telepon orang yang berhubungan dengan komisi mungkin telah diambil.

Komisi tidak mengungkapkan kebocoran data secara terbuka hingga 10 bulan setelah menemukan pelanggaran tersebut.

“Ini karena diperlukan untuk menghapus aktor [musuh] dan akses mereka ke sistem kami, menilai kerusakan dan menerapkan langkah-langkah keamanan tambahan,” katanya.

Kantor Komisi Informasi, di mana komisi juga melaporkan pelanggaran tersebut, mengatakan sedang "menyelidiki sebagai masalah mendesak".

Mantan menteri keamanan Tory John Hayes mengatakan pihak berwenang "perlu menetapkan sumber serangan" sebagai prioritas. “Pertanyaan harus diajukan tentang apakah hal itu dapat diantisipasi dan dicegah dengan pertahanan dunia maya yang lebih aman,” ujarnya.

Wakil pemimpin Partai Buruh Angela Rayner mengatakan "serangan yang sangat memprihatinkan" menyoroti "kepentingan yang sangat penting" dari ketahanan bangsa terhadap serangan dunia maya. Dia menambahkan jika kejadian ini menjadi pelajaran yang harus dipelajari tentang melindungi demokrasi Inggris.

(Susi Susanti)