- Lebih dari 2,3 miliar data yang diduga milik warga Indonesia telah beredar di berbagai forum gelap selama tiga tahun terakhir, menurut laporan Indonesian Cyber Security Forum 2024.
- Insiden besar yang mungkin sudah mengenai datamu: BPJS Kesehatan (279 juta data, 2021) · Dukcapil (337 juta data, 2023) · paspor WNI (35 juta data, 2023) · NPWP (6 juta data, 2024) · data ASN BKN (4,7 juta data, 2024) · PDN (Juni 2024).
- 3 cara cek yang paling efektif dan gratis: Have I Been Pwned (global, paling komprehensif) · PeriksaData.com (fokus Indonesia, dibuat ethical hacker lokal) · Google Password Checkup (otomatis di akun Google).
- Kalau hasilnya merah (data bocor): ganti password akun yang terpengaruh segera · aktifkan 2FA · pantau aktivitas rekening bank.
- Kalau hasilnya hijau (tidak ditemukan): ini bukan berarti 100% aman. Database HIBP dan PeriksaData tidak mencakup semua insiden, terutama yang belum dipublikasikan.
Lebih dari 2,3 miliar data pribadi yang diduga milik warga Indonesia telah beredar di forum gelap selama tiga tahun terakhir, hampir 10 kali lipat jumlah penduduk Indonesia.
Sepanjang 2019 hingga Mei 2024, Kementerian Kominfo mencatat 111 kasus kebocoran data pribadi yang terdokumentasi.13
Sebagian besar korban tidak tahu data mereka bocor. Tidak ada notifikasi, tidak ada peringatan. Platform yang menyimpan datamu mengalami breach, datamu ikut tersebar, dan kamu baru tahu berbulan-bulan atau bertahun-tahun kemudian, itupun kalau akhirnya tahu.
Artikel ini menjelaskan cara cek apakah datamu sudah ada di database breach yang diketahui, apa artinya kalau hasilnya merah, dan apa yang bisa kamu lakukan — semuanya gratis dan bisa dilakukan kurang dari 5 menit.
- Insiden Kebocoran Data Besar di Indonesia yang Perlu Kamu Tahu
- 3 Cara Cek Kebocoran Data yang Paling Efektif
- Hasil Merah: Apa yang Harus Dilakukan Sekarang?
- Kalau Hasilnya Hijau: Apakah Berarti Aman?
- Kenapa Data Bisa Bocor Meski Kamu Tidak Melakukan Kesalahan Apapun?
- Cara Meminimalkan Risiko ke Depan
- FAQ
- Kesimpulan
- Referensi & Sumber
Insiden Kebocoran Data Besar di Indonesia yang Perlu Kamu Tahu
Sebelum mengecek, penting untuk memahami skala masalahnya. Ini insiden yang datamu mungkin ada diantaranya.
BPJS Kesehatan (2021) — 279 Juta Data
Pada Mei 2021, 279 juta data peserta BPJS Kesehatan bocor ke dark web, mencakup NIK, alamat, nomor telepon, hingga riwayat penyakit kronis.
Data ini dijual di dark web dan digunakan untuk kebutuhan pinjol ilegal, serta mengakibatkan pencurian identitas medis dan pemalsuan klaim.
Dukcapil Kemendagri (2023) — 337 Juta Data
Pada Juli 2023, sekitar 337 juta data kependudukan dari Direktorat Jenderal Kependudukan dan Pencatatan Sipil (Dukcapil) dilaporkan bocor.
Data yang terdampak meliputi nama lengkap, nomor Kartu Keluarga, tanggal lahir, alamat, nama ayah dan ibu, NIK orang tua, hingga nomor akta kelahiran atau pernikahan.
Paspor WNI (2023) — 35 Juta Data
Pada 5 Juli 2023, dilaporkan sebanyak 35 juta data paspor WNI beredar di dark web, mulai dari nama, nomor paspor, hingga tanggal lahir.
Serangan ini menyebabkan risiko pemalsuan identitas dan penipuan imigrasi.
NPWP Wajib Pajak (2024) — 6 Juta Data
Pada September 2024, 6 juta data Nomor Pokok Wajib Pajak (NPWP) diperjualbelikan di forum jual-beli data siber.
Data yang bocor termasuk data pajak milik Presiden Joko Widodo beserta keluarganya.
Data ASN BKN (2024) — 4,7 Juta Data
Pada Agustus 2024, diduga terjadi kebocoran data sebanyak 4,7 juta NIP dan NIK para Aparatur Sipil Negara (ASN) yang dikelola oleh Badan Kepegawaian Negara (BKN).
Pusat Data Nasional (PDN) — Juni 2024
Serangan ransomware pada Juni 2024 melumpuhkan Pusat Data Nasional Sementara (PDNS 2) di Surabaya. Data yang berada di dalam server PDN mencakup Nomor Induk Kependudukan (NIK), Kartu Tanda Penduduk (KTP), nomor ponsel, dan data diri yang bersifat rahasia lainnya.
BSSN menyatakan data yang terdampak tidak bisa dipulihkan.
Kesimpulan penting: Kalau kamu pernah menjadi peserta BPJS, punya KTP, punya paspor, atau punya NPWP — ada kemungkinan datamu ada di database yang bocor. Ini bukan alasan untuk panik, tapi alasan untuk tahu dan bersiap.
3 Cara Cek Kebocoran Data yang Paling Efektif
Cara 1: Have I Been Pwned (HIBP) — Paling Komprehensif
Waktu yang dibutuhkan: 1 menit | Biaya: Gratis | Cocok untuk: Cek email dan password
Have I Been Pwned (HIBP) adalah layanan web gratis yang diluncurkan oleh pakar keamanan siber Troy Hunt pada 4 Desember 2013.
Per Mei 2026, HIBP telah mencatat lebih dari 17,5 miliar akun bocor dari 986 situs yang terdampak insiden pelanggaran keamanan siber.
Situs ini digunakan oleh pemerintah di 38 negara termasuk Inggris, Kanada, dan Jerman.4
HIBP juga pernah bekerja sama langsung dengan FBI untuk mengumpulkan password yang bocor ke dalam database mereka.
Cara menggunakannya:
- Buka haveibeenpwned.com di browser
- Masukkan alamat email kamu di kolom pencarian
- Klik tombol “pwned?”
- Tunggu beberapa detik
Membaca hasilnya:
Layar hijau dengan teks “Good news — no pwnage found!” artinya emailmu tidak ditemukan dalam database HIBP.
Relatif aman, tapi baca catatan penting di bawah.
Layar merah dengan teks “Oh no — pwned!” artinya emailmu pernah terekspos dalam satu atau lebih insiden.
Gulir ke bawah untuk melihat: nama platform yang kena breach, kapan terjadinya, dan data apa yang bocor.
Cek juga passwordmu:
HIBP punya fitur Pwned Passwords di haveibeenpwned.com/Passwords — kamu bisa cek apakah passwordmu pernah muncul di database breach.
Teknologi k-anonymity memastikan data kamu tidak justru bocor saat proses pengecekan.
Password yang kamu masukkan tidak dikirim ke server HIBP, hanya sebagian kecil dari hash-nya.
Aktifkan notifikasi otomatis:
HIBP menyediakan fitur Notify Me di haveibeenpwned.com/NotifyMe — gratis dan tidak butuh akun.
Daftarkan emailmu dan HIBP akan mengirim notifikasi otomatis setiap kali emailmu muncul di breach baru.
Hal ini merupakan cara paling praktis untuk memantau tanpa harus cek manual secara berkala.
Satu catatan penting:
Hasil “tidak ditemukan” bukan berarti akun pasti aman sepenuhnya. Have I Been Pwned menegaskan bahwa data di dalam situs hanya memuat sebagian dari seluruh kebocoran yang pernah terjadi.
Tidak adanya bukti bukan berarti tidak ada kejadian, terutama untuk insiden besar di Indonesia seperti Dukcapil dan PDN yang belum tentu seluruhnya masuk ke database HIBP.
Cara 2: PeriksaData.com — Fokus Indonesia
Waktu yang dibutuhkan: 1 menit | Biaya: Gratis | Cocok untuk: Cek email dan nomor telepon, fokus insiden Indonesia
PeriksaData.com dibuat oleh Teguh Aprianto, pakar keamanan siber yang pertama kali mengungkap kebocoran data Dukcapil dan NPWP melalui akun X-nya.
Situs ini mengambil data dari sumber kebocoran global dan regional dengan fokus pada pengguna Indonesia, dan tidak menyimpan email pengguna.
Database PeriksaData mencakup insiden lokal Indonesia yang mungkin belum masuk ke HIBP.
Cara menggunakannya:
- Buka periksadata.com
- Masukkan email atau nomor telepon (+62…)
- Klik “Periksa Sekarang”
- Sistem menampilkan daftar insiden kebocoran yang terkait
Keunggulan vs HIBP: PeriksaData lebih relevan untuk insiden lokal Indonesia. HIBP lebih komprehensif untuk insiden global. Idealnya, gunakan keduanya.
Cara 3: Google Password Checkup — Otomatis di Akun Google
Waktu yang dibutuhkan: 2 menit | Biaya: Gratis | Cocok untuk: Pengguna Chrome yang password-nya tersimpan di Google
Kalau kamu menyimpan password di browser Chrome, Google secara otomatis memantau apakah ada password yang muncul di database breach yang dikenal.
Cara menggunakannya:
- Buka passwords.google.com dan login
- Klik “Periksa Sandi” (atau “Check Passwords”)
- Google akan memindai semua password tersimpan dan menampilkan:
- Password yang terekspos di breach
- Password yang lemah
- Password yang dipakai di banyak situs
Keunggulan: Otomatis dan komprehensif untuk semua akun yang passwordnya tersimpan di Chrome. Tidak perlu cek satu per satu.
Keterbatasan: Hanya efektif kalau kamu memang menyimpan password di Chrome. Tidak mencakup akun yang kamu akses dari browser lain.
Tools Tambahan yang Layak Dicoba
F-Secure Identity Theft Checker f-secure.com/en/identity-theft-checker — gratis, cek email, antarmuka sederhana.
Mozilla Monitor monitor.mozilla.org — gratis, berbasis HIBP tapi dengan antarmuka yang lebih mudah dipahami, bisa set notifikasi otomatis.
Avast Hack Check avast.com/hackcheck — gratis, fokus pada kebocoran email dan password.
Hasil Merah: Apa yang Harus Dilakukan Sekarang?
Jangan panik. Data yang bocor tidak selalu berarti langsung disalahgunakan.
Tapi kamu perlu bertindak cepat. Lakukan ini secara berurutan:
Langkah 1: Identifikasi Akun yang Terpengaruh
Lihat di HIBP atau PeriksaData: platform mana yang terkena breach? Fokus dulu pada akun yang paling sensitif — email utama, mobile banking, dan marketplace.
Langkah 2: Ganti Password Segera
Mulai dari email utama — ini kunci semua akun lain karena semua permintaan “lupa password” dikirim ke sini.
Kemudian lanjutkan ke mobile banking dan marketplace.
Gunakan password yang kuat dan unik untuk setiap akun.
Panduan lengkapnya ada di: Cara Membuat Password yang Kuat dan Tidak Mudah Diretas
Langkah 3: Aktifkan Two-Factor Authentication (2FA)
Bahkan kalau password sudah diganti, peretas yang punya password lama tetap bisa mencoba.
2FA memastikan mereka tidak bisa masuk meski tahu passwordmu.
Langkah 4: Pantau Aktivitas Rekening Bank
Selama 1–2 minggu setelah temuan, cek notifikasi transaksi lebih sering. Aktifkan notifikasi SMS atau email untuk setiap transaksi di mobile banking.
Kalau ada transaksi yang tidak kamu kenali, segera hubungi bank.
Langkah 5: Waspada Phishing yang Memanfaatkan Data Bocor
Peretas yang punya namamu, nomor HP-mu, dan sebagian data lainnya akan mencoba serangan phishing yang lebih personal — pesan yang menyebut namamu secara langsung dan terasa sangat meyakinkan.
Langkah 6: Lapor ke Pihak Berwenang Jika Ada Penyalahgunaan
Kalau data yang bocor sudah digunakan untuk penipuan, pencurian identitas, atau kejahatan lain:
- Polri: patrolisiber.id
- Kominfo: aduan.id
- Bank: hubungi nomor resmi di belakang kartu ATM atau website resmi bank, bukan nomor yang ada di pesan yang masuk
Kalau Hasilnya Hijau: Apakah Berarti Aman?
Tidak sepenuhnya. Ini yang perlu kamu pahami:
HIBP dan PeriksaData hanya memuat data breach yang sudah dipublikasikan atau ditemukan. Ada breach yang terjadi tapi belum terungkap. Ada data yang beredar di forum tertutup yang belum diindeks oleh tool-tool ini.
Khusus untuk Indonesia: insiden Dukcapil (337 juta data), PDN (Juni 2024), dan banyak kebocoran data lembaga pemerintah mungkin belum sepenuhnya masuk ke database HIBP karena insiden ini terjadi di ekosistem yang berbeda.
Artinya: Hasil hijau adalah kabar baik, tapi bukan jaminan. Tetap terapkan kebiasaan keamanan digital yang baik meski hasil cekmu bersih: password unik per akun, 2FA aktif, dan waspada terhadap phishing.
Kenapa Data Bisa Bocor Meski Kamu Tidak Melakukan Kesalahan Apapun?
Karena kebocoran data bukan hanya soal kesalahanmu. Ada tiga skenario utama:
Platform yang kamu daftar mengalami breach. Saat Bukalapak, Tokopedia, atau platform lain diretas, data semua penggunanya ikut terekspos — termasuk pengguna yang sudah tidak aktif.
Data kependudukan di server pemerintah diretas. Data NIK, KTP, atau data BPJS-mu wajib disimpan di server pemerintah. Tapi keamanan server-server itu bukan tanggung jawabmu.
Data dikompilasi dari banyak sumber. Beredar kabar soal kebocoran “16 miliar password” yang diduga berasal dari Apple, Google, dan Facebook.
Penyelidikan mengungkapkan bahwa ini sebenarnya hasil kompilasi dari lebih dari 30 database lama yang sudah bocor sejak bertahun-tahun lalu.
Peretas sering mengompilasi data dari banyak breach lama dan menjualnya sebagai “data baru”.
Praktisi keamanan siber Alfons Tanujaya menyatakan bahwa masyarakat hanya bisa menjaga data pribadinya sesuai dengan kapasitasnya.
Masyarakat tidak bisa berbuat apa-apa ketika data tersebut berada di server yang dikelola pihak lain — dalam posisi itu, publik hanya bisa berharap data pribadinya dikelola dan dijaga dengan baik.
Ini yang perlu kamu terima: sebagian data dasarmu (NIK, nama, tanggal lahir) mungkin sudah ada di luar sana dan tidak ada yang bisa mengembalikannya.
Yang bisa kamu kontrol adalah bagaimana kamu melindungi akun-akunmu dari penyalahgunaan data tersebut.
Cara Meminimalkan Risiko ke Depan
Kebocoran data dari platform lain tidak bisa dicegah. Tapi kamu bisa membuat data yang bocor tidak berguna bagi peretas:
Gunakan password unik untuk setiap akun. Kalau satu platform breach dan passwordmu bocor, peretas tidak bisa menggunakannya di platform lain. Satu kebiasaan ini secara dramatis mengurangi dampak breach.
Aktifkan 2FA di semua akun penting. Password yang bocor tidak berguna kalau ada 2FA — peretas masih butuh HP-mu untuk masuk.
Pertimbangkan email alias untuk platform yang tidak penting. Daftar di forum, promo, atau platform yang tidak kamu percaya penuh menggunakan email sekunder atau alias. Dengan begitu, kalau platform itu breach, email utamamu tidak ikut terekspos.
Aktifkan notifikasi HIBP dan pantau PeriksaData secara berkala. Daftarkan emailmu ke fitur Notify Me di haveibeenpwned.com/NotifyMe — gratis, dan kamu akan mendapat notifikasi otomatis kalau emailmu muncul di breach baru tanpa harus cek manual.
Kelola puluhan password unik tanpa harus mengingat semuanya: 5 Password Manager Terbaik untuk Pengguna Indonesia
FAQ
Ya. HIBP menyatakan secara eksplisit tidak mencatat (menyimpan) pencarian akun di situsnya, selain Google Analytics dan Application Insights untuk pemantauan performa. HIBP dikelola oleh Troy Hunt, pakar keamanan yang dipercaya oleh pemerintah di 38 negara dan pernah bekerja sama dengan FBI. Situs ini sudah beroperasi sejak 2013 dengan reputasi yang bersih. Akses hanya melalui alamat resmi haveibeenpwned.com — jangan tertipu situs tiruan.
Tidak secara langsung. HIBP dan PeriksaData fokus pada email dan password. Untuk NIK, tidak ada tool publik yang bisa mengonfirmasi apakah NIK spesifikmu sudah bocor. Yang bisa dilakukan: waspadai tanda-tanda penyalahgunaan identitas seperti tagihan yang tidak kamu buat, SMS OTP yang tidak kamu minta, atau ada yang mengklaim sebagai kamu di platform keuangan.
Tidak bisa. Setelah data beredar di dark web atau forum ilegal, tidak ada cara untuk menghapus atau menariknya kembali. Yang bisa kamu lakukan adalah membuat data yang bocor tidak berguna — dengan mengganti password, aktifkan 2FA, dan waspada terhadap phishing yang memanfaatkan data tersebut.
Tergantung. Kalau password akun lama itu berbeda dari password akun aktif sekarang, risiko minimal. Tapi kalau kamu pernah pakai password yang sama di mana-mana, ganti semua password yang mungkin identik. Lebih baik, hapus atau nonaktifkan akun lama yang tidak lagi dipakai untuk mengurangi kemungkinan serangan.
Ada, tapi untuk pengguna biasa tidak diperlukan. Norton 360 dan Bitdefender menyertakan fitur dark web monitoring yang memantau lebih banyak sumber dibanding HIBP gratis, termasuk forum tertutup yang tidak diindeks secara publik. Tapi untuk pemeriksaan rutin, HIBP dan PeriksaData sudah sangat memadai.
Tertarik dengan dark web monitoring? Baca: 5 Antivirus Terbaik untuk Android di Indonesia
Bagaimana cara menghubungi pihak berwenang kalau data saya disalahgunakan?
Ada dua kanal resmi: patrolisiber.id milik Polri untuk laporan tindak pidana siber, dan aduan.id milik Kominfo untuk aduan konten dan penipuan digital.
Siapkan bukti seperti screenshot pesan penipuan, nomor yang menghubungi, dan detail transaksi yang mencurigakan.
Kesimpulan
Memeriksa kebocoran data pribadi adalah langkah yang memakan waktu 1 menit tapi bisa memberi gambaran yang sangat berharga tentang kondisi keamanan digitalmu.
Mulai dari Have I Been Pwned untuk cek email, lanjutkan ke PeriksaData.com untuk konteks Indonesia, lalu aktifkan notifikasi otomatis HIBP agar kamu tahu lebih cepat kalau emailmu muncul di breach baru.
Kalau hasilnya merah: ganti password, aktifkan 2FA, pantau aktivitas bank. Kalau hasilnya hijau: tetap terapkan kebiasaan yang sama, karena data yang belum ditemukan bukan berarti tidak ada.
Langkah pertama setelah cek: Cara Membuat Password yang Kuat dan Tidak Mudah Diretas
Lapisan perlindungan kedua: Apa Itu Two-Factor Authentication dan Cara Mengaktifkannya
Baca juga: Apa yang Terjadi Saat Data KTP Kamu Bocor dan Apa yang Harus Dilakukan
Kami meriset dan menulis konten keamanan digital berdasarkan laporan ancaman, data insiden, dan panduan dari lembaga keamanan siber terpercaya. Kami menerjemahkan istilah teknis ke bahasa yang bisa langsung dipraktikkan.
Selengkapnya di Tentang Fortalive
Referensi & Sumber
- Kompas.id. Lebih dari 2,3 miliar data pribadi yang diduga milik warga Indonesia telah beredar di berbagai forum gelap selama tiga tahun terakhir — laporan Indonesian Cyber Security Forum 2024, dikutip oleh anggota Komisi III DPR Bambang Soesatyo, November 2025. kompas.id ↩ ↩2
- Tempo.co / Cyberstudio.id / GoodStats.id. Rangkuman kasus kebocoran data besar di Indonesia 2021–2024: BPJS (279 juta), Dukcapil (337 juta), paspor (35 juta), NPWP (6 juta), ASN BKN (4,7 juta), PDN 2024. tempo.co ↩
- Kompas.id. Sepanjang 2019–Mei 2024, Kemenkominfo mencatat 124 kasus dugaan pelanggaran perlindungan data pribadi, 111 di antaranya kebocoran data. Mayoritas data bocor tidak terenkripsi. September 2024. kompas.id ↩
- TechCorner.id / haveibeenpwned.com. Have I Been Pwned: cara kerja, teknologi k-anonymity, kerja sama FBI, digunakan di 38 negara. Per Mei 2026 (diverifikasi langsung di haveibeenpwned.com): lebih dari 17,5 miliar akun bocor tercatat dari 986 situs. Diverifikasi Mei 2026. techcorner.id · haveibeenpwned.com ↩