Kebocoran Data Illinois Department of Human Services Berdampak pada Hampir 700 Ribu Warga

Illinois Department of Human Services (IDHS), salah satu lembaga pemerintah terbesar di negara bagian Illinois, mengungkap insiden kebocoran data yang berdampak pada hampir 700.000 penduduk. Insiden ini terjadi akibat kesalahan pengaturan privasi yang membuat data pribadi dan kesehatan dapat diakses secara publik selama bertahun-tahun.

IDHS menyatakan bahwa kebocoran tersebut terdeteksi pada 22 September, ketika pihaknya menemukan bahwa peta yang dibuat oleh Divisi Family and Community Services—khususnya Biro Perencanaan dan Evaluasi—dapat diakses bebas melalui sebuah situs pemetaan. Peta tersebut awalnya dibuat untuk penggunaan internal, antara lain sebagai dasar pengambilan keputusan terkait alokasi sumber daya dan penempatan kantor layanan.

Namun, akibat pengaturan privasi yang tidak tepat, peta-peta tersebut tetap terbuka untuk publik dalam jangka waktu lama sebelum akhirnya diketahui dan ditindaklanjuti. Temuan ini mengungkap dua kelompok warga Illinois yang terdampak oleh kebocoran data tersebut.

Kelompok terbesar terdiri dari sekitar 672.616 penerima Medicaid dan Medicare Savings Program. Data yang terekspos meliputi alamat, nomor kasus, informasi demografis, serta nama program bantuan medis. Meski demikian, IDHS menegaskan bahwa nama individu dalam kelompok ini tidak disertakan dalam data yang terbuka. Paparan data ini terjadi sejak Januari 2022 hingga September 2025.

Sementara itu, kelompok kedua yang lebih kecil mencakup 32.401 pelanggan Divisi Rehabilitation Services. Informasi yang terungkap pada kelompok ini tergolong lebih sensitif karena mencakup nama, alamat, nomor dan status kasus, serta sumber rujukan. Data tersebut diketahui terekspos sejak April 2021 hingga September 2025.

Dalam pernyataan resminya, IDHS menjelaskan bahwa situs pemetaan yang digunakan tidak memiliki kemampuan untuk melacak siapa saja yang telah melihat peta-peta tersebut. Hingga saat ini, lembaga tersebut mengaku belum menemukan indikasi adanya penyalahgunaan data, baik yang sudah terjadi maupun yang sedang dicoba, sebagai dampak langsung dari insiden ini.

Setelah kebocoran teridentifikasi, IDHS segera membatasi akses ke peta-peta tersebut agar hanya dapat diakses oleh pegawai yang berwenang. Proses pengamanan ini diselesaikan pada 26 September. Selain itu, IDHS melakukan peninjauan menyeluruh terhadap seluruh peta yang sempat terekspos dan kini menerapkan pembatasan teknis untuk mencegah unggahan informasi pelanggan yang dapat diidentifikasi ke platform pemetaan publik.

Sebagai bagian dari kewajiban hukum, IDHS juga mulai mengirimkan pemberitahuan kepada individu yang terdampak sesuai dengan ketentuan perlindungan privasi data kesehatan federal, serta melaporkan insiden ini kepada otoritas pengawas yang relevan.

Insiden ini menambah catatan panjang masalah keamanan data di lingkungan IDHS. Pada Desember 2024, lembaga tersebut juga melaporkan kebocoran data besar lainnya setelah sejumlah akun pegawai diretas melalui serangan phishing, yang mengakibatkan tereksposnya informasi pribadi lebih dari 1,1 juta orang.