Menuju konten utama

Duduk Perkara Penangkapan Peretas Situs KPU di Payakumbuh

Seorang peretas situs KPK ditangkap polisi. Padahal maksud dia baik: agar KPU memperbaiki keamanannya.

Duduk Perkara Penangkapan Peretas Situs KPU di Payakumbuh
Ilustrasi Hacker mencuri data. iStockphoto/Getty Images

tirto.id - Pemuda asal Payakumbuh, Sumatera Barat, Muhammad Arik Alfiki (19), ditangkap polisi karena diduga mengakses laman Komisi Pemilihan Umum (KPU) secara ilegal. Dia ditangkap Direktorat Tindak Pidana Siber Bareskrim Polri dan Satuan Reserse Kriminal Polres Payakumbuh di rumahnya, Senin (22/4/2019) pukul 16.00 WIB.

Arik tidak berniat buruk. Orang tua Arik, Dendi Hendri, melalui Facebok menjelaskan kalau setelah menemukan celah keamanan pada situs kpu.go.id, anaknya langsung lapor ke Badan Siber dan Sandi Negara (BSSN).

Menurut Dendi, anaknya beriktikad baik dengan memberi tahu kalau ada celah keamanan di laman KPU dengan harapan sistem keamanan situs segera diperbaiki.

Tapi niat baik itu tak disambut baik pula. Ia malah ditangkap dan dibawa ke Jakarta.

"Pada tanggal 1 April dia melihat ada celah di server KPU dan itu rentan untuk dimasuki yang saya tidak mengerti dan sudah dilaporkan ke KPU lewat email," jelasnya.

"Saya takkan rela anak saya dianggap kriminal hanya karena berita tak jelas," tambahnya.

Arik melakukan itu di warung internet Acrolein di Payakumbuh pada Kamis (18/4/2019) antara pukul 11.21 sampai 13.20. Arik melakukan tes penetrasi ke situs KPU dan merekamnya menggunakan aplikasi Bandicam.

Arik melakukan tes penetrasi melalui tools accunetix untuk Web Crawler dan scan folder; SQL Map untuk injeksi SQL dan payload. Arik menemukan celah open redirect di situs KPU, tetapi tidak mendapatkan celah SQL Injeksi.

Menurut Dendi, Arik tak berniat jahat. Ia malah menyebut kalau anaknya itu telah mendapat penghargaan dari berbagai perusahaan, termasuk dari luar negeri.

"Anak saya alhamdulillah diberi kecerdasan di bidang IT," katanya.

Dendi mengklaim telah berkomunikasi dengan anaknya dan polisi. Ia mengatakan anaknya saat ini dalam keadaan baik-baik saja.

"Dia kooperatif dan alhamdulillah petugas pun baik sama anak saya," ujarnya.

Reporter Tirto telahberkomunikasi langsung dengan Dendi dan berjanji bertemu di Bareskrim. Namun hingga berita ini dinaikkan Dendi belum juga sampai.

Penangkapan Arik ini diakui Karopenmas Polri Brigjen Dedi Prasetyo. Namun Dedi enggan menjelaskan lebih detail mengenai perkara tersebut.

Seharusnya Diapresiasi

Penangkapan Arik dipertanyakan Ketua Bidang Advokasi Yayasan Lembaga Bantuan Hukum Indonesia (YLBHI) Muhammad Isnur. Ia mengatakan Arik seharusnya mendapat penghargaan karena membantu menemukan celah keamanan.

"Kalau Arik selama ini disebut hacker yang bisa membantu memperbaiki celah di situs. Seharusnya dia diapresiasi sebagai orang yang membantu memperkuat keamanan situs," kata Isnur saat dihubungi reporter Tirto, Rabu (14/4/2019).

Menurut Isnur, kepolisian seharusnya mengecek terlebih dulu latar belakang Arik sebelum menangkapnya. Ia menegaskan orang-orang seperti Arik tak seharusnya dipenjara.

"Kalau memenjarakan artinya merusak potensi yang ia miliki. Seharusnya dia dididik dan diarahkan atau direkrut untuk jadi pihak yang andal menjaga keamanan negara," ujar Isnur.

Isnur menambahkan, kepolisian perlu membuktikan perbuatan Arik merupakan tindak pidana atau bukan.

“Semua penghargaan yang ia punya, latar belakang, bukti laporan yang ia kirimkan, harus disajikan kepada penyelidik untuk membuktikan kalau perbuatan dia bukan bagian dari tindak pidana melainkan menguatkan sistem keamanan situs KPU," ujarnya.

Hal senada juga disampaikan ahli digital forensik Ruby Alamsyah. Ia mengatakan kepolisian perlu membuktikan apakah perbuatan Arik meriset keamanan untuk keperluan positif atau negatif.

Ruby menjelaskan aktivitas Arik dalam dunia siber dikategorikan Bug Bounty Hunter.

"Bug Bounty Hunter adalah para pencari kelemahan sistem IT perusahaan besar atau instansi pemerintah," kata Ruby saat dihubungi reporter Tirto.

Bug Bounty Hunter secara sukarela mencari kelemahan suatu situs, lalu melaporkannya secara resmi. Harapannya, kata dia, bisa mendapat penghargaan dari perusahaan atau lembaga pemerintahan yang menjadi target.

"Misalnya Google, Facebook, Tokopedia dan sejenisnya biasanya menyediakan penghargaan kepada Bug Bounty Hunter asalkan layak, tanpa dibayar di muka dan dilaporkan [hasil kerjanya]," terang Ruby.

Menurut situs Bugcrowd, perusahaan seperti Google dan Apple memang mau memberi duit hingga ratusan ribu dolar AS untuk Bug Bounty Hunter. Sementara Go-Jek, perusahaan asal Indonesia, pernah memberi uang 200 sampai 5.000 dolar AS.

Namun, sayangnya, pakem ini belum jamak di Indonesia.

Baca juga artikel terkait PEMILU 2019 atau tulisan lainnya dari Adi Briantika

tirto.id - Hukum
Reporter: Adi Briantika
Penulis: Adi Briantika
Editor: Gilang Ramadhan