DATA SIAM UB BOCOR DI DARK WEB, ADA DUGAAN BAHWA PELAKU ADALAH OKNUM INTERNAL

Pada Sabtu (18/1), sebuah akun Instagram bernama @seputargame mengunggah konten perihal kebocoran data beberapa universitas di Indonesia. Mengutip akun tersebut, informasi ini didapat melalui salah satu unggahan seseorang bernama Matt Murdrock di Facebook. Unggahan tersebut berisi beberapa tangkapan layar yang memperlihatkan data-data sensitif mahasiswa—nama, alamat email, hingga kata sandi—dari berbagai universitas di Indonesia, termasuk Universitas Brawijaya (UB), yang diketahui tengah diperjualbelikan di dark web.

Pada tangkapan layar yang beredar, terlihat bahwa data yang terakses dalam dark web merupakan data akses login Universitas Brawijaya berjumlah 22.700 akun. Hal ini memungkinkan data login dari mahasiswa maupun civitas akademik lain seperti dosen dan karyawan dapat terakses secara bebas.

Menanggapi hal tersebut, Jeki (bukan nama sebenarnya), seorang mahasiswa Fakultas Ilmu Komputer UB yang kerap memantau aktivitas di dark web serta pernah mengembangkan sistem menggunakan layanan server UB, memberikan tanggapannya dalam wawancara dengan reporter Kavling10 pada Selasa (21/1).

Jeki menduga kuat bahwa pelaku kebocoran data ini adalah oknum internal yang telah memiliki akses terhadap data-data tersebut, lalu dengan sengaja mengunggahnya ke dalam dark web. “Makanya sebenarnya dugaanku ini belum tentu hacker yang meretas dari nol, tapi mahasiswa-mahasiswa jahat yang melakukannya sengaja,” tuturnya.

Menurut Jeki, dugaan paling kuat kebocoran ini berasal dari sistem scraping yang pernah digunakan beberapa tahun lalu. Scraping adalah teknik di mana proses autentikasi dilakukan di website yang menggunakan layanan autentikasi, bukan diarahkan ke IAM (Identity and Access Management) UB. “Scraping itu maksudnya proses autentikasi ini dilakukan di website yang menggunakan layanan autentikasi. Jadi [web tersebut] tidak di-redirect ke IAM, tapi halamannya itu sendiri punya halaman login sendiri,” jelas Jeki.

Pada sistem scraping, developer website dapat membuat halaman login sendiri, meskipun tetap terintegrasi dengan database UB. “Ketika proses login dilakukan di website yang [merupakan] kliennya atau sistem yang memanfaatkan autentikasi UB, [maka] otomatis developer-nya itu bisa ngakali. ‘Oh, karena ini login-nya di akunku, karena aku yang buat halaman login-nya, udah, ya udah aku akali. Sistem email, password itu aku kirim ke mana gitu, ke database-ku aja gitu. Nanti kusimpan datanya, terus habis itu ku bocorkan keluar gitu,’ misalnya,” papar Jeki menjelaskan celah keamanan yang mungkin terjadi.

Jeki mencontohkan beberapa website yang dikembangkan mahasiswa, seperti Raja Brawijaya (platform untuk mahasiswa baru) dan website program kerja Badan Eksekutif Mahasiswa (BEM), yang dahulu menggunakan sistem scraping. Website-website tersebut memerlukan integrasi dengan data mahasiswa UB, sehingga meminta akses ke sistem autentikasi UB. “Di situlah letak kerentanan sibernya. Jadi ketika mereka [developer mahasiswa] mengintegrasikan website-website dari mahasiswa ini dengan sistem UB, otomatis kan data itu bisa aja disimpan terlebih dahulu di website-nya mahasiswa tersebut atau datanya dikirim ke mana gitu, ke sistem luar,” ungkapnya.

Jeki menegaskan bahwa kerentanan siber dapat berasal dari sisi developer-nya. “Ada di salah satu mata kuliahku yang menjelaskan bahwa kerentanan siber itu bisa di sisi developer-nya, bukan [hanya] ada hacker yang niat jahat gitu,” katanya.

Berdasarkan judul postingan di dark web yang Jeki amati, data yang bocor adalah “22.700 sekian Universitas Brawijaya login access.” Artinya, yang bocor kemungkinan hanya email, NIM, dan password SIAM, bukan data akademik lain seperti IPK, data orang tua, atau informasi beasiswa. “Kalau dugaannya dan yang faktanya yang benar adalah hanya login access, berarti data yang bocor itu hanya terletak di sistem autentikasi atau login, dan bukan data-data pribadi mahasiswa [seperti] IPK, terus data orang tua, penghasilan, beasiswa dan sebagainya/”

Meski demikian, Jeki mengingatkan bahwa dengan mendapatkan data login, pelaku dapat mengakses berbagai resource kampus yang seharusnya hanya bisa diakses oleh mahasiswa UB. Lebih lanjut, Jeki menyebutkan bahwa dengan login access tersebut, pelaku juga berpotensi mengakses data sensitif lainnya yang tersimpan dalam akun mahasiswa. “Mereka bisa masuk ke akun UB kita, masuk akun Google [yang terhubung]. Yang artinya mereka bisa mengakses nomor telepon kita, mengakses data-data pribadi, bahkan sampai IPK itu [bisa diakses] dari situ,” tambahnya.

Menurut Jeki, perpindahan UB ke sistem IAM sebenarnya merupakan langkah yang baik untuk meningkatkan keamanan. IAM menggunakan teknologi SSO (Single Sign-On) yang juga digunakan oleh perusahaan besar seperti Google. “UB aware sama security menurutku ya. Karena IAM itu sudah enggak bisa dimanipulasi. Jadi pihak ketiga yang mau memanfaatkan fitur autentikasi UB itu kan enggak bisa lagi login di tempatnya gitu. Harus di IAM-nya gitu. Jadi akhirnya penyalahgunaan data gitu, itu kemungkinan kecil terjadi gitu,” terangnya.

Ia juga menduga bahwa data autentikasi yang bocor kemungkinan adalah data-data tahun lalu, bukan data setelah sistem IAM diterapkan sepenuhnya. “Kemungkinan ini data autentikasi yang bocor itu data-data tahun kemarin, bukan data-data setelah IAM ini dipakai gitu,” ujar Jeki.

Kemudian ia menjelaskan perbedaan antara kebocoran yang dilakukan oleh hacker eksternal dengan oknum internal. Menurutnya, jika pelakunya adalah mahasiswa yang menggunakan sistem scraping, maka password yang bocor kemungkinan besar dalam bentuk plaintext (teks asli), bukan dalam bentuk hash (terenkripsi). “Kalau misal pelakunya adalah mahasiswa [dengan sistem scraping], berarti itu kemungkinan besar password-nya adalah password asli, password dalam plain text. Misal password 123 gitu, terus ini email-nya siapa gitu misal gitu. Tapi kalau hacker, kemungkinan besar itu password-nya cuma password yang sudah di-hash,” paparnya.

Ia menambahkan, “Jadi kalau bicara jahat mana dari sisi hasil, sebenarnya jahat yang dilakukan mahasiswa [lebih berbahaya]. Karena password yang bocor itu adalah password asli, bukan password yang di-hash.”

Sebagai langkah pencegahan, Jeki menyarankan agar UB menghimbau semua mahasiswa untuk segera mengganti password mereka. “Pencegahannya adalah ya jelas menghimbau semua mahasiswa untuk ganti password itu menurutku. Kalau enggak ganti password, ya berarti kan data-data yang tersebar itu udah enggak valid password-nya gitu,” tegasnya.

Jeki juga mengingatkan bahwa data yang sudah tersebar di dark web kemungkinan besar tidak akan di-takedown. “Di banyak kasus, kita enggak bisa berharap data itu di-takedown gitu. Di postingan aslinya misalnya gitu. Ya yang kita bisa lakukan ya harus jauh-jauh sebelum hari ini gitu, antisipasi gitu. Kalau dari perspektif keamanan siber harusnya gitu,” tutupnya.

*) Hingga berita ini terbit, pihak Direktorat Teknologi Informasi (DTI) UB belum menanggapi permohonan wawancara Kavling10.

Penulis: Sofidhatul Khasana
Editor: Mohammad Rafi Azzamy