Kasus Kebocoran Data di Indonesia 2025: 6 Insiden Besar dan Pelajaran Pentingnya

Sepanjang 2025, kasus kebocoran data di Indonesia bukan lagi kejadian sesekali — hampir tiap bulan ada yang baru. Data Surfshark mencatat 530.405 akun pengguna Indonesia bocor pada kuartal I 2025, lalu melonjak ke sekitar 944 ribu akun pada kuartal III 2025 — setara tujuh akun bocor setiap menit. Angka itu menempatkan Indonesia sebagai salah satu negara dengan eksposur data tertinggi di dunia.

Artikel ini merangkum enam insiden kebocoran data paling menonjol di Indonesia sepanjang 2024-2025, lengkap dengan kronologi singkat, sumber resmi, dan pelajaran konkret yang bisa langsung diterapkan organisasi Anda. Setiap kasus dipilih karena skalanya, dampaknya ke instansi publik atau jutaan warga, dan relevansinya untuk strategi pertahanan 2026.

Seberapa parah kebocoran data di Indonesia pada 2025?

Indonesia masuk jajaran negara paling banyak mengalami kebocoran data pada 2025. Menurut data Surfshark yang dikutip Dataindonesia.id, lonjakan kuartal III 2025 mencapai 351% dibanding kuartal sebelumnya. Di sisi serangan, InvestorTrust melaporkan Indonesia menghadapi 3,64 miliar serangan siber sepanjang 2025. Laporan Indonesian Cyber Security Forum yang dikutip Kompas menyebut lebih dari 2,3 miliar data pribadi beredar di forum gelap dalam tiga tahun terakhir. Daftar di bawah ini memperlihatkan korporasi dan lembaga negara sama-sama jadi sasaran — termasuk instansi yang justru bertugas menjaga data warga.

1. Dugaan kebocoran 128 juta data registrasi SIM (Oktober 2025)

Pada Oktober 2025, pelaku yang memakai nama Bjorka mengeklaim membocorkan 128 juta data registrasi kartu SIM warga Indonesia ke dark web. Selular.ID melaporkan data berisi NIK, nomor telepon, operator, dan tanggal registrasi, dengan ukuran berkas sekitar 8 GB. Kasus ini memicu desakan publik agar Kementerian Komunikasi dan Digital (Komdigi) melakukan audit keamanan menyeluruh.

Pelajaran: data registrasi yang memuat NIK sekaligus nomor ponsel sangat gampang disalahgunakan untuk penipuan yang mengatasnamakan korban. Organisasi yang menyimpan identitas pelanggan perlu menjadikan enkripsi data sensitif dan pembatasan akses ketat sebagai prioritas teknis — bukan sekadar memenuhi syarat kepatuhan di atas kertas.

2. Dugaan peretasan data pegawai Komdigi (Februari 2025)

Kementerian yang bertugas mengawal keamanan digital justru menjadi korban. Komdigi mengonfirmasi investigasi atas dugaan peretasan di Pusat Data dan Sarana Informatika (PDSI) yang berdampak pada data pegawai. CNN Indonesia melaporkan Komdigi menutup celah keamanan dan memperkuat sistem pertahanan setelah mendeteksi upaya peretasan.

Pelajaran: tidak ada organisasi yang kebal, termasuk regulator. Audit infrastruktur berkala dan pemantauan aktivitas mencurigakan di jaringan internal harus jadi rutinitas, bukan reaksi setelah insiden.

3. Serangan ransomware Brain Cipher ke Pusat Data Nasional Sementara (2024)

Insiden ini terjadi pada 2024, tapi efeknya masih terasa sepanjang 2025 — jadi layak dijadikan pembanding. Pada Juni 2024, ransomware Brain Cipher melumpuhkan Pusat Data Nasional Sementara (PDNS) 2. Tempo melaporkan layanan 282 instansi terganggu dan peretas meminta tebusan US$8 juta atau sekitar Rp131 miliar. Layanan publik seperti imigrasi sempat lumpuh selama berhari-hari.

Pelajaran: backup yang terpisah dan rutin diuji itu yang menentukan — pulih dalam hitungan jam, atau lumpuh berminggu-minggu. Strategi 3-2-1 wajib dimiliki setiap instansi yang memegang layanan kritis.

4. Kebocoran data BPJS Kesehatan dan sektor publik

Data peserta BPJS Kesehatan berkali-kali dilaporkan beredar dan diperjualbelikan di forum daring — mulai dari identitas pribadi sampai informasi yang seharusnya rahasia. Katadata mencatat lembaga publik tetap jadi target utama, meski tren akhir 2024 sempat menurun. Kombinasi data kependudukan dan kesehatan membuat dampaknya jauh lebih sensitif dibanding kebocoran biasa.

Pelajaran: data kesehatan butuh perlindungan berlapis dan prinsip akses seperlunya. Pegawai yang menangani data peserta perlu pelatihan rutin agar tidak jadi titik lemah karena phishing atau kelalaian.

5. Kebocoran data lewat layanan publik yang salah konfigurasi

Tidak semua kebocoran berasal dari peretasan canggih. KlikLegal melaporkan kebocoran data pelamar kerja di lingkup instansi pemerintah akibat penggunaan Google Drive terbuka saat pendaftaran. Data pribadi pelamar bisa diakses siapa saja tanpa pembatasan — kesalahan konfigurasi yang sebenarnya bisa dicegah sepenuhnya.

Pelajaran: kesalahan konfigurasi dan kelalaian manusia menyebabkan sebagian besar kebocoran. Prosedur baku berbagi file, pengecekan izin akses, dan kebijakan internal yang jelas langsung memangkas risiko ini.

6. Kebocoran data nasional skala besar lintas instansi

Kalau ditotal, jumlah kebocoran ini menunjukkan masalahnya ada di tata kelola, bukan satu sistem yang jebol. BINUS University mencatat Indonesia mengalami kebocoran 12.742.031 akun dalam satu kuartal saja, dengan ratusan instansi terdampak. Polanya jelas: kelemahannya di tata kelola data lintas lembaga.

Pelajaran: tata kelola data yang konsisten, dari klasifikasi data sampai tanggung jawab pemilik data, harus diterapkan di seluruh organisasi. Tanpa itu, satu titik lemah bisa membuka pintu ke seluruh jaringan.

Pola yang berulang dari kasus kebocoran data 2025

Enam insiden di atas memperlihatkan tiga pola berulang. Pertama, lembaga publik dan korporasi sama-sama jadi target, jadi besar-kecilnya organisasi bukan jaminan aman. Kedua, faktor manusia — dari phishing sampai salah konfigurasi — muncul di banyak kasus. Ketiga, data identitas seperti NIK jadi incaran utama karena nilainya tinggi di pasar gelap. SiberMate membantu organisasi menutup celah faktor manusia ini lewat pelatihan kesadaran keamanan dan pemantauan eksposur data yang terukur.

Baca juga

• Faktor penyebab kebocoran data dan cara mengatasinya
• Apa saja yang dijual di dark web: fakta mencengangkan
• Apa itu security awareness dan mengapa penting bagi perusahaan

Pertanyaan yang sering diajukan

Apa saja kasus kebocoran data di Indonesia 2025?

Kasus paling menonjol mencakup dugaan kebocoran 128 juta data registrasi SIM pada Oktober 2025, dugaan peretasan data pegawai Komdigi pada Februari 2025, kebocoran data BPJS Kesehatan, serta kebocoran lewat layanan publik yang salah konfigurasi. Insiden ransomware Brain Cipher ke Pusat Data Nasional pada 2024 juga masih memengaruhi lanskap 2025.

Berapa banyak akun Indonesia yang bocor pada 2025?

Menurut data Surfshark, sekitar 530.405 akun bocor pada kuartal I 2025 dan melonjak menjadi sekitar 944 ribu akun pada kuartal III 2025, setara tujuh akun bocor setiap menit. Angka ini menempatkan Indonesia sebagai salah satu negara dengan eksposur data tertinggi di dunia.

Apa kebocoran data terbesar di Indonesia?

Dari sisi jumlah catatan, dugaan kebocoran 128 juta data registrasi SIM pada 2025 termasuk yang terbesar. Dari sisi dampak layanan, serangan ransomware ke Pusat Data Nasional Sementara pada 2024 melumpuhkan ratusan instansi dan layanan publik.

Bagaimana cara perusahaan mencegah kebocoran data?

Langkah inti meliputi enkripsi data sensitif, pembatasan akses seperlunya, backup terisolasi yang teruji, prosedur baku berbagi file, dan pelatihan kesadaran keamanan untuk seluruh karyawan. Karena faktor manusia muncul di banyak insiden, pelatihan rutin dan simulasi phishing menjadi pertahanan paling efektif.

Langkah selanjutnya

Mulai dengan satu langkah konkret minggu ini: petakan eksposur data organisasi Anda dan ukur seberapa rentan karyawan terhadap phishing. SiberMate menyediakan pemantauan kebocoran data dan pelatihan kesadaran keamanan yang bisa langsung dipakai tim non-teknis untuk menutup celah yang paling sering dieksploitasi pada 2025.