Kebocoran Data Mahasiswa Undip pada Peladen Tak Terpakai
Kebocoran diduga terjadi pada server pak.undip.ac.id yang semula dipakai untuk penilaian angka kredit mahasiswa, tetapi lalu pengembangannya terhenti. Ada sekitar 72.000 data yang diduga bocor.
Oleh
ADITYA PUTRA PERDANA
·3 menit baca
SEMARANG, KOMPAS — Kebocoran data mahasiswa Universitas Diponegoro, Semarang, Jawa Tengah, terjadi pada peladen atau server tidak terpakai, atau berbeda dengan sistem informasi yang berjalan saat ini. Kendati sekitar 72.000 data diduga bocor, dari penelusuran, sebagian besar tidak identik dengan yang dimiliki Undip.
Hal itu diketahui setelah Undip melakukan investigasi dengan menggandeng Universitas Indonesia (UI) dan Universitas Gadjah Mada (UGM). Adapun hasil investigasi disampaikan pada Selasa (19/1/2021) secara virtual.
Dalam rilis yang disampaikan, disebutkan kebocoran terjadi pada server pak.undip.ac.id yang semula dipakai untuk penilaian angka kredit, tetapi lalu pengembangannya terhenti. Dokumen yang diambil, dimodifikasi terakhir pada 16 April 2018, yang antara lain berisi data mahasiswa. Dokumen itu bukan bagian dari sistem informasi yang berjalan saat ini.
Serangan dimulai dengan menggunakan perangkat lunak open source Nuclei, yang berfungsi memindai dan menemukan kelemahan server. Tercatat juga bahwa usaha untuk memasuki server ini dari berbagai negara, di antaranya Belanda, China, Hongkong, dan Meksiko.
Upaya yang sudah dilakukan yakni menghubungi sivitas yang datanya terpapar yakni mahasiswa angkatan 2018 dan sebelumnya, menonaktifkan domain pak.undip.ac.id, serta memetakan dan menata kembali seluruh jaringan Undip. Selain itu, mereorganisasi pengelolaan TI (teknologi informasi) Undip agar lebih siap jika terjadi masalah serupa.
”Di UI pernah terjadi yang melaporkan BSSN (Badan Siber dan Sandi Negara), dan saat itu hendak dijual. Kalau (Undip) ini data enggak dijual sama sekali, mungkin (peretas) hanya ingin pengakuan,” kata Ketua Center for Cyber Security and Cryptography UI, Setiadi Yazid, yang menjadi anggota tim eksternal dalam investigasi itu.
Setiadi mengatakan, saat ini, para peretas kerap menjual data. Mereka juga menggunakan kampus untuk menyerang dan memamerkan kemampuan meretas kepada teman-temannya. Oleh karena itu, data mahasiswa tak bisa lagi digunakan untuk hal sembarangan. Seluruh data juga harus dikelola dengan baik.
Sebelumnya, Selasa (5/1), kebocoran data mahasiswa Undip ramai diperbincangkan di media sosial. Itu bermula dari cuitan akun @fannyhasbi di Twitter, yang menyebutkan ada lebih dari 125.000 data mahasiswa Undip yang bocor. Dalam unggahan gambar, tampak ada kumpulan data berisi nama, jurusan, daerah asal, riwayat sekolah, dan lainnya.
Data mahasiswa tak bisa lagi digunakan untuk hal sembarangan. Seluruh data juga harus dikelola dengan baik. (Setiadi Yazid)
Tidak identik
Pelaksana tugas Wakil Rektor III Undip Dwi Cahyo Utomo menuturkan, domain pak.undip.ac.id memang sudah tidak digunakan. Hingga saat ini, semua penilaian akademik masih dengan sistem manual.
Dwi menuturkan, data yang diduga bocor yakni sekitar 72.000, bukan 125.000 seperti yang tersebar di forum. Kemudian, didalami lagi sekitar 5.000 data. ”Hasil kajian hingga (Selasa) siang ini, kami cocokkan nama ibu kandung dan tanggal lahir ibu kandung. Sekitar 96 persen tak ada yang identik,” kata Dwi.
Saat ditanya terkait peningkatan kapasitas SDM dalam keamanan siber, Dwi mengatakan, setiap tahun Undip memiliki anggaran untuk itu. Sertifikasi juga terus dilakukan. Namun, kejadian ini menjadi pelajaran penting, meskipun hal serupa juga terjadi di organisasi atau institusi lain.
”Pak Rektor sudah memutuskan, ada satu unit khusus di bawah pengawas internal yang akan fokus pada pengawasan keamanan IT atau transaksi elektronik. Nantinya, khusus untuk melakukan pengawasan terkait misalnya apa yang kami alami saat ini (kebocoran data),” ucap Dwi.