Media Kampung – Kebocoran data pribadi di Indonesia telah berevolusi. Bukan lagi sekadar peristiwa sekali jual di forum gelap, melainkan menjelma menjadi model bisnis berlangganan yang dikemas rapi seperti aplikasi startup. Sebuah bot di aplikasi percakapan ditemukan menawarkan cek data kependudukan, BPJS, hingga foto KTP dengan sistem token dan referral.

Temuan ini diungkap oleh Kombes Pol Dr. Manang Soebeti melalui akun Instagramnya pada pertengahan Juli 2026, memicu keresahan warganet. Bot tersebut menyediakan layanan lengkap: cek NIK, foto KTP, hingga pelat nomor kendaraan dengan harga token yang bisa diisi ulang via QRIS. Bahkan ada program referral untuk menarik pengguna baru.

Baca juga:

Dari Kebocoran ke Industri Jasa

Selama ini kebocoran data di Indonesia dipandang sebagai insiden satu kali. Misalnya, kebocoran 337 juta data kependudukan dari Dukcapil pada 2023, serangan ransomware Brain Cipher ke Pusat Data Nasional Sementara pada 2024, dan kebocoran data pelamar kerja di Kementerian Komunikasi dan Digital pada Januari 2026. Data curian tersebut biasanya dijual di forum gelap dan selesai.

Namun, bot ini menunjukkan lompatan signifikan. Data curian tidak lagi diperjualbelikan sekali, melainkan diolah menjadi layanan berlangganan yang bisa diakses kapan saja. Indonesia Cyber Security Forum mencatat lebih dari 2,3 miliar data pribadi warga Indonesia telah beredar di forum gelap dalam tiga tahun terakhir. Dengan pasokan melimpah, model bisnis seperti ini memungkinkan siapa pun membuka ‘toko’ data instan.

Baca juga:

UU PDP Belum Efektif Tanpa Lembaga Pengawas

Praktik ini jelas melanggar Undang-Undang No. 27/2022 tentang Pelindungan Data Pribadi (UU PDP) yang mengancam pemrosesan data tanpa persetujuan dengan pidana penjara hingga enam tahun. Namun, UU PDP yang berlaku penuh sejak 17 Oktober 2024 belum memiliki lembaga pengawas independen yang seharusnya menjadi tulang punggung penegakan hukum. Hingga pertengahan 2026, lembaga tersebut belum terbentuk, sehingga tidak ada otoritas yang bisa memerintahkan penutupan bot, menyita hasil kejahatan, atau menuntut pelaku.

Lemahnya pengawasan diperparah oleh rendahnya kesadaran publik. Skor keamanan digital dalam Indeks Literasi Digital Indonesia hanya 3,12 dari 5, terendah di antara semua indikator. Kerugian dari kejahatan siber yang tercatat di Indonesia Anti-Scam Centre dan Satgas PASTI mencapai Rp9,5 triliun hingga April 2026.

Baca juga:

Regulasi Baru Berpotensi Memperparah

Sejak 1 Juli 2026, registrasi kartu SIM baru mewajibkan verifikasi wajah. Ini berarti semakin banyak data sensitif terkumpul di satu tempat, sementara pengawasan belum memadai. Alih-alih menunggu lembaga pengawas independen yang proses pembentukannya tidak jelas, beberapa regulator yang sudah ada bisa bertindak. Bank Indonesia dapat mengawasi penyedia QRIS yang memproses top up token bot, sementara Kementerian Komunikasi dan Digital berwenang atas platform aplikasi percakapan yang menampung bot tersebut.

Namun, menutup satu bot saja tidak akan cukup selama jalur pembayaran dan platformnya masih terbuka. Taruhannya semakin besar: bot berikutnya mungkin tidak lagi menjual NIK dan foto KTP, melainkan data biometrik seperti wajah.