Kisah Hacker Surabaya: dari Point Blank hingga ke 42 Negara

Oleh: Felix Nathaniel - 15 Maret 2018
Dibaca Normal 3 menit
Seorang anggota Surabaya Black Hat bercerita bagaimana awal mula tertarik dengan dunia peretasan dan pada akhirnya bergabung dalam sindikat.
tirto.id - "Saya lupa main apa," kata Mita.

"Dulu awalnya main Ragnarok," ujar Nanta sambil tersenyum lebar.

Dana menimpali sembari tertawa, "dulu suka mainnya Point Blank."

Nanta dan Dana, anggota peretas Surabaya Black Hat (SBH), tampak senang ketika mengingat masa awal mengenal internet, ketika masih sekolah di tingkat menengah pertama. Nanta mengaku bisa menghabiskan berjam-jam di warung internet hanya untuk bermain game online jenis role-playing game (RPG).

"Saya penggiat teknologi sejak SMP," kata Nanta kepada Tirto, Kamis (15/3/2018).

Kebiasaan itu berlanjut hingga dewasa. Bedanya, Nanta tak lagi sekadar bermain game, tetapi sudah mulai coba-coba coding dan akhirnya menjadi peretas—seseorang yang secara tidak sah memperoleh akses dan terkadang mengotak-atik informasi dalam sistem komputer.

Nanta tidak ingat berapa persisnya situs yang telah diretas. Ia hanya mengingat kalau jumlahnya mencapai ratusan.

Perlu waktu sekitar 72 jam untuk dapat meretas satu situs. Waktu yang dihabiskan lebih banyak untuk mengetahui apa yang kurang dari sistem keamanan situs yang disasar. Proses pembobolannya sendiri, aku Nanta, hanya butuh waktu "beberapa jam saja."

Nanta mulai meretas situs sejak kelas 2 SMP. Biasanya itu dilakukan setelah bosan main game Perfect World. Situs yang pertama ia bobol bukan punya orang lain, melainkan miliknya sendiri. Dari sana ia belajar bagaimana cara kerja sistem keamanan sebuah situs dan bagaimana pula cara menembusnya.


Puas dengan proyek iseng-isengnya itu, Nanta mulai tertantang untuk membobol situ lain yang tingkat keamanannya lebih sulit. Nanta tidak melakukan itu sendiri. Ia berkomplot bersama orang-orang yang punya keahlian sama di Surabaya, Jawa Timur.

Sadar bahwa kemampuannya itu bisa mendatangkan uang, Nanta mulai menawarkan jasa. Yang ia lakukan adalah membobol situs yang ada di luar Indonesia, dan mengirim pesan elektronik ke pengelolanya untuk memberikan jasa peningkatan keamanan dengan imbalan yang tidak sedikit.

Ia mengaku bisa ditawari $150-600 hanya untuk satu proyek. Tidak sedikit pula yang memberinya imbalan sampai $800 atau sekitar Rp10,4 juta untuk pekerjaan yang sama.

Tahun 2015, Nanta bergabung ke SBH. Menurut keterangan polisi, ada 3.000an situs asal 40an negara yang telah dibobol SBH, termasuk negara-negara maju seperti Jerman, Perancis, Inggris, dan Kanada. Ada pula negara tetangga macam Thailand dan Vietnam.

(Catatan: polisi menyebut angka 44 negara, tetapi berdasarkan rilis resmi yang kami terima jumlahnya hanya 42. Ketika kami konfirmasi ulang, polisi menyebut "sesuai dengan rilis resmi").

Meski sudah ahli, akan tetapi bukan berarti setiap hacking berakhir sukses. Nanta juga pernah gagal, misalnya ketika berusaha membobol perusahaan hosting asal Amerika Serikat (AS). Nanta lupa nama perusahaan itu. Yang ia masih ingat adalah perusahaan tahu kegiatan ilegalnya itu. Namun alih-alih protes, mereka justru menawarkan Nanta pekerjaan. Ia menolak karena masih ingin tinggal di Indonesia.


Di SBH, Nanta hanya bertahan dua tahun. Mahasiswa Stikom Surabaya itu keluar tahun 2017 karena ingin fokus belajar dan mengembangkan usaha rintisan. Selain sebagai mahasiswa, Nanta juga punya perusahaan konsultan keamanan internet dan pembuatan game online. Sejak keluar dari SBH itulah ia berhenti jadi peretas ilegal.

Beda ketika di SBH, di perusahaan konsultan keamanan ini ada standar tertentu yang harus dipenuhi. Seorang peretas legal—bisa disebut white hat—memang dikontrak pihak tertentu untuk menguji coba keamanan sistem. Kewajiban peretas ini adalah menginformasikan dan membantu memperkuat aspek yang rentan dibobol itu.

Seorang peretas legal juga idealnya punya Certificate Ethical Hacking yang biaya pembuatannya bisa sampai Rp15 juta. Namun, sampai keluar dari SBH dan mendirikan perusahaan sendiri, Nanta belum juga mengantongi sertifikat ini. Sampai akhirnya ia ditangkap polisi.

Ketika ditanyakan mengapa ia tidak memakai uang hasil kerjanya untuk membuat sertifikat, Nanta tertawa sambil berujar, "niatnya begitu, tapi keburu ditangkap polisi."

Nanta memang tidak pernah berpikir kegiatannya bakal membuatnya berurusan dengan polisi. Ia tidak tahu kalau tindakannya melanggar hukum sebelum Direktorat Reserse Tindak Pidana Kriminal Khusus subdit IV Polda Metro Jaya menangkapnya. Polisi menduga NA melanggar Pasal 30 juncto Pasal 46 dan atau Pasal 29 juncto Pasal 45B dan atau Pasal 32 juncto Pasal 48 UU Nomor 19 Tahun 2016 dan atau Pasal 3, 4, dan 5 UU Nomor 8 Tahun 2010 tentang TPPU.

"Mereka meminta sejumlah uang melalui metode pembayaran akun PayPal dan Bitcoin dengan alasan biaya jasa," kata Kabid Humas Polda Metro Jaya, Kombes Argo Yuwono, Selasa (13/3) kemarin.

Bagaimana SBH Bermula

Salah satu pendiri SBH yang ditangkap bersama Nanta, Mita, mengaku kalau ia mendirikan sindikat bersama empat orang lain pada 2012. Awalnya SBH hanya forum diskusi kecil-kecilan, tapi lama kelamaan meluas. Ia memperkirakan kini anggota SBH mencapai 700 orang, yang berjejaring di Facebook, WhatsApp, LINE, atau Telegram.

"Kami komunikasi lewat berbagai aplikasi," katanya.


Tujuan forum bergeser ketika ada bug bounty dua tahun lalu. Mita menyebut bug bounty adalah peristiwa ketika perusahaan justru memberi imbalan bagi siapa pun yang menemukan celah keamanan pada situs mereka dan menginformasikannya. Google misalnya, pada 2015 lalu pernah menghadiahi peretas uang sebesar Rp62,5 juta karena menemukan celah keamanan pada YouTube. (ralat 16/3 pukul 13.06: sebelumnya tertulis backbounty).

Orang-orang yang tergabung dalam SBH kemudian coba melakukan hal serupa. Setiap tiga bulan sekali, mereka mengadakan pertemuan. Selain berbincang soal apa yang telah mereka lakukan, penyelenggara juga biasanya menghadirkan pemateri untuk bicara soal topik-topik terkait.

Jaringan ini tidak pernah bermaksud mempublikasikan hasil peretasan mereka kepada publik.

"Anggotanya kebanyakan belajar otodidak. Ada wartawan, ada akuntan, ada polisi juga sebenarnya," kata Mita. Mimiknya sedikit ragu ketika melontarkan kalimat ini karena penyidik Ditreskrimsus ada di sebelahnya saat berbincang dengan Tirto.

Mita menegaskan, SBH bukan tempat berkumpul pelaku kriminal meski namanya black hat—yang identik dengan peretasan ilegal. Bila perusahaan yang sistemnya dibobol mau membayar jasa, maka mereka bakal memperkuat sistem pengamanannya. Tapi bila enggan, Mita mengaku tidak masalah.

"Kami hanya menawarkan, tidak mengancam," ucapnya.

Ia menyanggah pernyataan polisi yang menyebut SBH juga meretas situs pemerintah Jawa Timur. Menurutnya tidak ada alasan untuk meretas situs asal Indonesia.

"Saya tidak mau minta [uang] ke orang Indonesia yang saudara sendiri," ucapnya. "Meskipun kami peretas bukan berarti kami hancurin negara sendiri."

Baca juga artikel terkait KEJAHATAN SIBER atau tulisan menarik lainnya Felix Nathaniel
(tirto.id - Teknologi)

Reporter: Felix Nathaniel
Penulis: Felix Nathaniel
Editor: Rio Apinino
DarkLight