Langsung ke konten utama

Incident response

Cara cek data bocor dan apa yang harus dilakukan setelahnya

Ringkasnya

Cara cek apakah data pribadi Anda bocor lewat situs tepercaya, langkah setelah data bocor, dan kewajiban notifikasi 3x24 jam perusahaan di bawah UU PDP.

Data protection officer

Setiap kali kabar kebocoran data nasional muncul, pertanyaan pertama yang dicari jutaan orang sama: apakah data saya ikut bocor? Kabar baiknya, ada beberapa layanan tepercaya yang bisa menjawab pertanyaan itu dalam hitungan detik, gratis, dan tanpa risiko tambahan.

Halaman ini menjelaskan cara memeriksa apakah data Anda bocor, apa arti jenis data yang terekspos, langkah apa yang perlu segera diambil, dan satu hal yang jarang dibahas: kewajiban hukum perusahaan ketika data pelanggannya muncul dalam sebuah kebocoran.

Gelombang kebocoran data 2025-2026

Indonesia sedang berada di salah satu periode kebocoran data terburuknya. Surfshark mencatat sekitar 944 ribu akun Indonesia bocor pada kuartal III 2025, naik 351% dari kuartal sebelumnya dan menempatkan Indonesia dalam 10 besar negara dengan kebocoran terbanyak di dunia.

Pada September 2025, polisi menangkap seorang pria 22 tahun di Minahasa yang mengaku memakai alias Bjorka dan dituduh membobol data 4,9 juta nasabah bank. Polisi tidak memastikan apakah dia Bjorka yang sama dengan pelaku kebocoran besar 2022. Sebulan kemudian, Oktober 2025, akun yang memakai nama Bjorka kembali mengeklaim menjual 128 juta data registrasi kartu SIM di dark web, berisi NIK, nomor telepon, operator, dan tanggal registrasi dalam berkas sekitar 8 GB. Klaim itu belum terkonfirmasi kebenarannya, tetapi polanya jelas: kebocoran skala nasional bukan lagi kejadian luar biasa, melainkan siklus yang berulang.

Karena itu memeriksa paparan data sendiri sebaiknya jadi kebiasaan rutin, bukan reaksi panik setiap kali ada berita.

Cara cek apakah data Anda bocor

Tiga layanan di bawah ini gratis, sudah lama beroperasi, dan hanya membutuhkan alamat email. Masukkan email Anda, dan layanan akan membandingkannya dengan basis data kebocoran yang sudah diketahui publik.

Have I Been Pwned

Basis data kebocoran terbesar di dunia, dikelola peneliti keamanan Troy Hunt sejak 2013. Mencakup miliaran akun dari ribuan insiden, termasuk sejumlah kebocoran besar yang melibatkan pengguna Indonesia. Bisa cek email dan nomor telepon.

Periksa Data

Layanan buatan komunitas keamanan siber Indonesia di periksadata.com, dengan fokus pada kebocoran yang menyangkut layanan dan platform Indonesia. Pernah diliput CNN Indonesia, CNBC Indonesia, dan Kompas TV.

Mozilla Monitor

Sebelumnya bernama Firefox Monitor. Memakai data Have I Been Pwned, gratis, dan bisa memantau hingga 20 alamat email sekaligus dengan peringatan otomatis setiap kali email Anda muncul di kebocoran baru.

Satu aturan keamanan yang penting: layanan cek kebocoran yang sah hanya meminta alamat email atau nomor telepon. Situs yang meminta kata sandi, kode OTP, foto KTP, atau pembayaran untuk "membersihkan data Anda" adalah penipuan, dan ironisnya sering muncul justru saat berita kebocoran sedang ramai.

Perlu dipahami juga batasannya. Tidak ada satu pun layanan yang mencakup semua kebocoran. Data registrasi SIM atau data kependudukan misalnya sering tidak memuat alamat email, sehingga tidak bisa dicek per orang lewat layanan ini. Hasil "aman" berarti email Anda tidak ditemukan di basis data yang mereka miliki, bukan jaminan bahwa data Anda tidak pernah bocor di mana pun.

Apa arti jenis data yang bocor

Tidak semua kebocoran sama bahayanya. Risiko yang Anda hadapi bergantung pada jenis data yang terekspos.

Jenis dataRisiko utama
NIKTidak bisa diganti seumur hidup. Dipakai untuk verifikasi pinjaman online, registrasi SIM, dan pembukaan rekening, sehingga NIK yang bocor bisa dipakai mendaftarkan layanan atas nama Anda.
Nomor teleponSasaran utama penipuan rekayasa sosial, spam, dan percobaan SIM swap. Kombinasi nomor telepon dan NIK membuat penipu bisa berpura-pura menjadi bank atau operator dengan sangat meyakinkan.
Alamat emailPintu masuk phishing bertarget. Email juga menjadi kunci reset kata sandi hampir semua akun Anda yang lain, sehingga email yang diambil alih berarti akun lain ikut terancam.
Kata sandiLangsung berbahaya jika Anda memakai kata sandi yang sama di beberapa akun. Penyerang menjalankan credential stuffing, mencoba kombinasi email dan kata sandi bocor di ratusan layanan lain secara otomatis.

Langkah segera jika data Anda bocor

Ganti kata sandiAktifkan 2FAWaspadai soceng dan OTPPantau rekening dan pinjolLaporkan penyalahgunaan

Mulai dari kata sandi akun email utama, karena email adalah kunci reset untuk akun lain. Ganti kata sandi di setiap layanan yang terdampak, dan berhenti memakai satu kata sandi untuk banyak akun. Password manager membuat ini jauh lebih mudah dijalankan.

Aktifkan autentikasi dua faktor (2FA) di email, perbankan, dan media sosial. Aplikasi authenticator lebih aman daripada kode lewat SMS, karena SMS bisa dibajak lewat SIM swap.

Langkah ketiga yang paling sering menentukan: waspadai rekayasa sosial atau soceng. Data yang bocor jarang dipakai langsung untuk membobol rekening. Yang lebih sering terjadi, penipu menelepon atau mengirim pesan WhatsApp dengan menyebut nama lengkap dan data Anda yang benar agar terlihat resmi, lalu meminta kode OTP. Kode OTP adalah kunci terakhir yang hanya Anda pegang. Bank dan operator tidak pernah memintanya, siapa pun yang memintanya adalah penipu.

Terakhir, pantau mutasi rekening dan periksa apakah ada pinjaman online yang dibuka atas nama Anda. Jika menemukan penyalahgunaan, laporkan ke bank atau penyedia layanan terkait, dan ke polisi jika ada kerugian.

Kewajiban perusahaan ketika data pelanggan bocor

Sampai di sini pembahasannya untuk individu. Tetapi setiap kebocoran punya dua sisi, dan di sisi lainnya ada perusahaan yang datanya bocor, dengan kewajiban hukum yang tenggatnya sangat pendek.

UU PDP (UU 27/2022) Pasal 46 mewajibkan pengendali data pribadi, ketika terjadi kegagalan pelindungan data pribadi, menyampaikan pemberitahuan tertulis paling lambat 3x24 jam (72 jam) kepada dua pihak: subjek data yang terdampak dan lembaga pengawas. Pemberitahuan itu minimal memuat data pribadi apa yang terungkap, kapan dan bagaimana data itu terungkap, serta upaya penanganan dan pemulihan yang dilakukan. Dalam kasus tertentu, perusahaan juga wajib memberitahukan kebocoran itu kepada publik. Lembaga pengawas yang dimaksud undang-undang belum terbentuk sampai pertengahan 2026, dan fungsi pengawasan sementara dijalankan Komdigi.

Tenggat 72 jam itu sangat singkat. Dalam praktiknya perusahaan harus mendeteksi insiden, memastikan skala datanya, menyusun pemberitahuan tertulis, dan mengirimkannya, semuanya dalam tiga hari. Perusahaan yang baru mulai menyusun template notifikasi saat insiden terjadi hampir pasti terlambat. Konsekuensi kelalaiannya nyata: sanksi administratif UU PDP mencakup teguran tertulis, penghentian sementara pemrosesan, sampai denda hingga 2% dari pendapatan tahunan yang terkait pelanggaran.

Ada dua kemampuan yang membuat tenggat itu bisa dipenuhi. Pertama, kesiapan incident response: tim, playbook, dan template notifikasi yang sudah teruji sebelum insiden, seperti yang kami uraikan di panduan respons ransomware 72 jam pertama. Kedua, dark web monitoring: pemantauan forum jual beli data dan kanal dark web, sehingga perusahaan tahu datanya beredar dari hasil pemantauan sendiri, bukan dari wartawan atau pelanggan yang marah. Selisih waktu itu yang menentukan apakah 72 jam cukup.

Kebocoran kredensial karyawan juga sering menjadi pintu masuk serangan lanjutan seperti pengambilalihan email bisnis, yang kami bahas di halaman proteksi business email compromise.

Bagaimana Alpha Code membantu

Layanan Incident Response kami mencakup respons 24/7 dari Security Operations Center di Jakarta, forensik digital, dan penyusunan notifikasi regulator sesuai tenggat UU PDP. Lewat SOC-as-a-Service, kami juga menjalankan pemantauan berkelanjutan termasuk deteksi kredensial dan data perusahaan yang beredar di dark web, sehingga insiden terdeteksi sebelum menjadi berita.

Halaman ini adalah panduan umum, bukan nasihat hukum. Pastikan kewajiban Anda terhadap ketentuan terbaru sebelum mengambil keputusan kepatuhan.

Sumber

  1. 1.Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi
  2. 2.Have I Been Pwned
  3. 3.Periksa Data
  4. 4.Mozilla Monitor
  5. 5.Surfshark, data breach statistics by quarter
  6. 6.The Jakarta Post, Jakarta police arrest alleged hacker using Bjorka alias (Oktober 2025)
  7. 7.Metro TV News, Bjorka klaim 128 juta data SIM bocor (Oktober 2025)

Ditinjau oleh Mirna Indriasari, Security Program Manager

Pertanyaan umum

Tiga layanan yang paling banyak dipakai adalah Have I Been Pwned, Periksa Data (periksadata.com), dan Mozilla Monitor. Ketiganya gratis dan hanya membutuhkan alamat email untuk memeriksa apakah email itu muncul dalam basis data kebocoran yang sudah diketahui publik.

Terkait

Siap memperkuat keamanan siber Anda?

Bicarakan kebutuhan Anda dengan tim kami di Jakarta.

Tim kami di Jakarta. Kami membalas dalam satu hari kerja.