tirto.id - Kursor tetikus bergerak di monitor. Terpampang logo 'Sistem Informasi Personel Polri v2.3.1 Polda Sumsel'. Kursor mengklik kolom username dan mengetik 'infopers' kemudian berpindah ke kolom password lantas diisi sembilan karakter. Sesaat kemudian, tampilan layar berubah ke laman 'Daftar Personel'.
Di laman itu muncul sebaris data anggota Polda Sumsel, mulai dari nama, nomor registrasi pokok (NRP), dan jabatan. Kursor bergerak ke salah satu kolom. Laman berpindah lagi dan kali ini tampak detail informasi salah satu personel Polri. Terpampang Nomor Induk Kependudukan, tempat tanggal lahir, riwayat pendidikan, riwayat pangkat, riwayat jabatan, pas foto, nama dan tempat tanggal lahir keluarga, sampai data ukuran baju dan ukuran sepatu.
Layar berpindah ke laman sebelumnya, dan berpindah ke detail anggota lain. Kali ini kursor mengarah ke simbol silang di sebelah kolom nama, dan muncul kotak dialog 'delete personel'. Namun, tindakan itu urung dilakukan, layar berubah ke detail anggota lain.
Keseluruhan aksi itu dilakukan peretas dan direkam dengan screen recorder. Video itu dikirim ke Teguh Aprianto, pendiri Ethical Hacker Indonesia, sebagai bukti bahwa ia memang memiliki akses terhadap data anggota Polri.
Sebelumnya Teguh sedang berselancar di forum peretasan. Itu memang bagian dari pekerjaannya untuk mencari tahu segala hal yang terjadi di 'bawah tanah'. Di tengah pekerjaannya itu, muncul sebuah unggahan soal klaim akses penuh ke pangkalan data keanggotaan Polri. Tak cuma itu, dia mengaku bisa mengubah detail informasi, menghapus personel dari pangkalan data, mempensiunkan personel, dan memasukkan orang ke dalam pangkalan data.
Peretas mematok harga 1.200 dolar AS atau (Rp17 juta) untuk akses tersebut dan 2.000 dolar AS (28,5 juta) untuk informasi celah pada aplikasi.
Teguh lantas mengunggah temuannya itu di akun Twitternya, @secgron, Senin (15/6/2020). “Tujuan gue naikin cuma buat mereka (Polri) berbenah, sistem keamanan lo emang dari dulu udah dikenal jelek, gitu,” kata Teguh kepada reporter Tirto, Kamis (18/6/2020).
Teguh mengatakan aplikasi itu berada di masing-masing polda. Namun rancangannya sama karena berasal dari satu vendor. Dengan kata lain, jika ditemukan bug pada aplikasi di salah satu polda, maka dapat dipastikan aplikasi milik polda lain memiliki bug yang sama. Bug itulah yang kemudian jadi celah bagi peretas untuk mendapat akses pengguna untuk masuk ke dalam sistem.
Teguh menduga kejadian ini bukanlah yang pertama. Menurutnya, di kalangan peretas lokal, laman milik Polri atau lembaga pemerintah lain dikenal memiliki sistem keamanan yang lemah. Dia menyebut, berdasarkan catatan zone-h.org, sebuah arsip dari situs web yang rusak, asset milik Polri (domain utama dan subdomain) sudah pernah dibobol 259 kali. Pada 2015, tampilan utama situs web polri.go.id di-deface dengan menggunakan tagar SaveKPK.
Kemarin lusa (17/6/2020), Teguh dipanggil ke Mabes Polri untuk bertemu perwakilan tim Cyber Crime Polri. Dalam pertemuan itu Teguh menyampaikan detail serangan yang terjadi sekaligus langkah-langkah yang harus dilakukan guna mencegah kejadian serupa.
Badan Siber dan Sandi Negara (BSSN) mencatat sejak awal tahun sampai 12 April lalu terdapat 88.414.296 serangan siber. Selama kebijakan work from home (WFH) diterapkan, BSSN menyebut serangan trojan activity paling mendominasi--56 persen dari keseluruhan serangan. Disusul aktivitas pengumpulan informasi (information gathering) sebanyak 43 persen. Sisanya, 1 persen, merupakan web application attack.
Chairman Communication & Information System Security Research Center, Pratama Persadha, mengatakan penjualan data yang diperoleh dari sistem Polri memang jamak ditemui di darkweb atau raidforum. Menurutnya, data itu bisa digunakan untuk profiling oleh pihak asing.
Bahaya Bagi Polri
Tapi itu tak ada apa-apanya dibanding dampak lain. Kebocoran data pribadi bisa menjadi ancaman tersendiri bagi personel Polri dan keluarganya.
“Misalnya personel penyidik KPK [yang berasal dari Polri] beserta keluarganya ditarget oleh para koruptor, juga yang bertugas di Densus 88 diserang oleh kelompok teroris,” kata Pratama kepada reporter Tirto.
Level ancaman makin besar jika hal serupa terjadi di lembaga yang mengurus pertahanan negara. Karenanya Pratama meminta Polri dan pemerintah lebih memperhatikan keamanan siber.
Kadiv Humas Polri Irjen Pol Argo Yuwono membantah jika sistem informasi anggota Polri dibobol. "Tidak ada," katanya ketika dikonfirmasi reporter Tirto, Senin (15/6/2020). Kepala Biro Penerangan Masyarakat Polri Brigjen Awie Setiyono mengatakan tangkapan layar yang yang beredar di media sosial berbeda dengan tampilan sistem informasi yang digunakan Polri.
Penulis: Mohammad Bernie
Editor: Rio Apinino