Laman Akreditasi Elektronik Kemensos Diretas, Hacker: Saya Hanya Bersenang-senang
Tangkapan layar dari serangan yang terjadi di subdomain Akreditasi Elektronik Kementerian Sosial RI. | Foto: Cyberthreat.id/Andi Nugroho
Cyberthreat.id - Subdomain Kementerian Sosial yang beralamat di https://e-akreditasi.kemensos.go.id disusupi peretas. Jika mengunjungi laman utama subdomain, pengguna memang tidak akan menemukan masalah apa pun.
Namun, peretas menaruh file di URL berikut: https://e-akreditasi.kemensos.go.id/uploads/0179421373/2021/0179421373_dok_tanda_daftar.html.
Peretas menggungah file HTML bergambar wajah manusia dengan latar serbahitam. Di bagian bawah gambar tertulis “Hacked By ./Dandi.alien” yang kemudian disambung dengan tulisan”Sumedang Blackhat” dan “Hacked?? Not! I Just Want To Have Fun :)”
Selain mengunggah file lagu, peretas juga mencantumkan nama-nama geng peretas seperti Sumedang Blackhat, Jepara Blackhat, Itami Team, Indonesia Dark Coder, Padang Blackhat, Clan_X7, Mouse Xploiter, dan Manado Security Team.
Subdomain e-akreditasi tersebut disediakan oleh Kemensos untuk mempermudah lembaga kesejahteraan sosial (LKS) mengajukan akreditasi. Sesuai dengan UU Nomor 11/2009 tentang Kesejahteraan Sosial, lembaga-lembaga kesejahteraan sosial dan pekerja sosial/tenaga kesejahteraan sosial perlu terakreditasi seperti lembaga pelayanan publik lain. Proses penilaian akreditasi ini di bawah Badan Akreditasi LKS (BALKS).
Baca:
- KPU Jakarta Timur Pertama Kali Alami Serangan Siber, Siapa Geng Peretas Clan_X7?
- Taktik Dua Remaja yang Menjebol Setkab.go.id
Siapa ./Dandi.alien?
Jika melihat deretan nama geng peretas dicantumkan peretas di file HTML, sejumlah nama itu tak asing di dunia web defacement attack. Sebut saja, Padang BlackHat yang baru-baru ini anggotanya ditangkap lantaran menyerang Subdomain Setkab yang beralamat di https://ppid.setkab.go.id. Serangan ini juga berimbas pada domain Setkab itu sendiri.
Lalu, geng Clan_X7 juga baru saja menjadi newsmaker setelah tiga hari lalu melabrak situs web KPU Jakarta Timur. Dalam serangan ini, tercantum nama-nama rekan peretas, salah satunya: ./Dandi.alien—nama yang sama dengan peretas yang menyerang subdomain Kemensos.
Penelusuran Cyberthreat.id menemukan akun Instagram atas nama “dandi_wdnt1” yang di bagian profil tertulis “./DANDI.ALIEN”, seperti tangkapan layar di bawah ini.
Akun tersebut baru mengunggah lima foto dan unggahan terakhir berupa gambar berlatar hitam dengan berlogo burung dan bertuliskan “Sumedang Blackhat. User your skill for money.” Sejauh ini belum terkonfirmasi apakah akun tersebut memiliki keterkaitan dengan nama “./Dandi.alien” yang menyerang Kemensos.
Terkait dengan peretasan itu, peneliti keamanan siber independen Fauzan Wijaya mengatakan, jika melihat dari tipe serangan, peretas tampaknya bisa masuk ke situs web karena ada kerentanan bypass file upload restrictions. Di sini, peretas berhasil mengecoh filter ekstensi yang dibuat oleh admin web untuk membatasi file yang dapat diunggah oleh pengguna web.
Salah satu teknik yang biasa dipakai peretas untuk mengunggah file seperti yang dilakukan “./Dandi.alien” ialah “tamper data”. Jika peretas telah mendapatkan akses upload shell (tempat mengunggah data di situs web korban), tapi file yang dimiliki tak didukung oleh situs web, peretas memerlukan tools “tamper data” agar file tersebut dapat terpublikasi.
Menurut Fauzan, peretas kemungkinan besar telah menaruh web shell atau yang seringkali disebut sebagai “pintu belakang” (backdoor) di situs web tersebut. Dengan adanya “pintu belakang”, peretas bisa dengan mudah mengendalikan aplikasi.
“Jika seorang peretas telah berhasil menaruh web shell, efeknya sangat banyak karena mereka bisa memiliki akses penuh terhadap basis data dan memegang kendali atas file di seluruh situs web yang terhubung,” ujar Fauzan kepada Cyberthreat.id, Jumat (20 Agustus 2021).[]
