Peretas Amatir Berhasil Ungkap Celah Keamanan Fatal pada Website KPU


[PORTAL-ISLAM.ID] Bayu Freda dkk menemukan Celah Keamanan Fatal pada Website KPU.

Mas Bayu Freda dkk ini termasuk peretas muda langka dan berbakat. Ia menemukan celah kritikal di situs KPU yang berpotensi bocornya database pemilih dalam skala besar (nama, nik, alamat dll). Menurutnya, jika celah ini dimanfaatkan 'penjahat siber', efeknya bisa sangat buruk bagi kredibilitas penyelenggara Pemilu dan keamanan data pribadi warga negara.

Kegalauannya soal isu keamanan kritikal di situs KPU, dengan baik hati ia laporkan. Saya menghubungkannya ke instansi yang memiliki kewenangan soal keamanan siber (BSSN/Badan Siber dan Sandi Negara). Tapi sepertinya, respon dari penanggung keamanan siber negara ini tidak sesuai ekspektasinya. Mereka menerima laporan celah keamanan yang mungkin hasil riset dan trial berminggu-minggu bahkan berbulan-bulan ini dengan satu email ucapan terimakasih.

Itulah kenapa status ini ia tuliskan, bukan untuk mencari popularitas atau cari perhatian, tapi mengingatkan bahwa masih banyak celah kerawanan di situs-situs dan sistem pemerintah, dan intinya, jangan mengharap apapun jika kita melaporkan celah keamanan dari instansi penyelenggara negara! :)

Atas nama pribadi, saya mengucapkan terimakasih atas sumbangsihnya mas Bayu Freda dkk lain untuk pemerintah ini. Tulisan ini bentuk apresiasi saya untuk niat baik yang sudah dilakukan!

02-03-2019

(Teguh Arifiyadi)

***

BERIKUT TEMUAN YANG DISAMPAIKAN Bayu Freda di akun fbnya (2/3/2019):

#Information #KPU #Vulnerability #Security #Database

We found several vulnerabilities on KPU's website that could made ±200 millions of Indonesian population data and another important data leaked..

Di saat orang-orang ramai membahas KTP WNA dan masalah KTP lainnya, beberapa hari yang lalu mungkin sudah sekitar seminggu kami menemukan beberapa celah keamanan fatal pada website KPU dimana salah satunya mungkin bisa mendapatkan full akses ke database mengenai pemilu 2019 KPU yang menyimpan ratusan juta data penduduk Indonesia dan data-data penting lainnya, bahkan tidak perlu mendapatkan akses ke database seseorang juga bisa mendapatkan data-data tersebut melalui kesalahan programmer yang hanya meng-hidden data tanpa melakukan enkripsi (Miss Configuration).

Saat menemukan celah ini kami langsung mencari kontak BSSN autupun KPU untuk di laporkan agar bisa segera di perbaiki, karena data sepenting ini bisa di manfaatkan oleh orang-orang yang tidak bertanggung jawab untuk kepentingan pribadi yang mungkin bisa merugikan negara.

Lewat Pak Teguh Arifiyadi dan mas Teguh Aprianto akhirnya kami di bantu untuk melaporkan celah tersebut dan di hubungkan ke staff BSSN, kami di beri arahan untuk membuat laporan dan mengirimkannya ke email yang di arahkan oleh pihak BSSN, walaupun kami juga mengirim dengan harapan "setidaknya mendapatkan sertifikat penghargaan" karena itu berguna untuk kami kedepannya, karena ada beberapa juga yang mendapatkan sertifikat penghargaan dari BSSN walau kami tidak tahu pastinya bagaimana juga mendapatkan sertifikat tersebut.

Setelah beberapa saat bug tersebut akhirnya di patch walaupun harapan kami untuk mendapatkan sertifikat ikut sirna karena tidak ada lagi respond.

Dari sini kami pun mendapatkan pelajaran bahwa jika menemukan celah keamanan di sektor pemerintahan sefatal apapun dan sebesar apapun dampaknya tidak perlu mengharapkan imbalan apapun atau mungkin lebih baik di simpan sendiri.

Tapi perlu di ingat untuk "jangan meniru pelajaran yang kami dapatkan", jika kalian menemukan celah silahkan di laporkan karena memang itu lebih baik, dan jika tidak mendapatkan apapun maka tetap kalem karena "lemah garing lemahe teles, Gusti Allah ingkang mbales".

Tapi setidaknya kami masih mendapatkan ucapan terimakasih salah satu staff BSSN dan mungkin sedikit bisa membantu mensukseskan pemilu.

Sekian dari kami, salam

(Bayu Freda)

sumber: https://www.facebook.com/bayufedra/posts/2469327823141740

Mas Bayu Freda dkk ini termasuk peretas muda langka dan berbakat. Ia menemukan celah kritikal di situs KPU yang...
Dikirim oleh Teguh Arifiyadi pada Sabtu, 02 Maret 2019
We found several vulnerabilities on KPU's website that could made ±200 millions of Indonesian population data and...
Dikirim oleh Bayu Fedra pada Sabtu, 02 Maret 2019