Peretas Brasil ‘son1x’ Serang Subdomain Propam Polri, Satu Server Web Ditanam Backdoor

Cyberthreat.id – Peretas Brasil “son1x” yang membocorkan basis data Kepolisian Republik Indonesia di Twitter pada Rabu lalu memberitahu Cyberthreat.id bahwa subdomain milik Polri yang diserangnya saat ini tak bisa diakses. (Baca: Peretas Brasil ‘son1x’ Bobol Basis Data Polri, Data Dibagi Gratis di Twitter)

“Mereka telah men-takedown,” ujar peretas yang masih berusia 16 tahun itu, Jumat (19 November 2021) waktu Indonesia.

Menurut peretas, basis data yang ia bagikan secara gratis pada 17 November tersebut diambil dari subdomain server web https://e-rehab.propam.polri.go.id/.

Alamat tersebut sekarang tak bisa diakses publik, tampaknya admin TI-nya telah mematikan server web. Bahkan, di mesin pencari Google, alamat web itu juga tidak terindeks.

Kejadian tersebut mirip ketika son1x juga menyerang situs web Pusat Malware Nasional milik Badan Siber dan Sandi Negara (BSSN) pada akhir Oktober lalu. Setelah serangan perubahan halaman web (web defacement), subdomain pusmanas.bssn.go.id langsung dimatikan. Ketika dicari di mesin Google, alamat tersebut tidak terindeks, bahkan hingga hari ini. (Baca: Peretas BSSN: Saya Masuk dalam 10 Menit)

Namun, jika dicari melalui https://www.abuseipdb.com/ akan terlihat bahwa alamat e-rehab.propam.polri.go.id termasuk bagian dari polri.go.id dan pusmanas.bssn.go.id bagian dari domain bssn.go.id.

“Mereka tidak memperbaiki (kelemahan), tapi men-takedown­-nya,” kata son1x mengomentari subdomain Propam Polri tersebut.

Cyberthreat.id telah berupaya mengontak Kepala Divisi Humas Mabes Polri Irjen Dedi Prasetyo untu mengonfirmasi hal tersebut, tapi belum ada respons.

Pada 17 November, ‘son1x’  membagikan dua tautan yang berisi basis data Polri, yaitu “polrileak.txt” berukuran 10,27 megabita dan “polri.sql” dengan ukuran sama. Ia juga mengklaim memiliki 28 ribu kredensial login dan informasi pribadi.

Selang sehari, akun Twitter-nya yang dipakai untuk merilis basis data itu terblokir. “Akun Twitter asliku telah diblokir, bro. Tapi, tak masalah, saya dapat membuat akun lain nanti,” ujarnya menanggapi pemblokiran tersebut. (Baca: Twitter Blokir Akun Hacker Brasil Peretas Database Polri)

Jika melihat basis data yang diunggah di Ghostbin, situs web yang menyimpan dan membagikan teks secara online, peretas tampaknya mendapatkan data tentang pelanggaran yang dilakukan anggota Polri.

Hal itu terlihat dari daftar basis data yang mengandung kolom isian, sebagai berikut:

• rehab_no_putusan
• rehab_tanggal_putusan_sidang
• rehab_id_jenis_pelanggaran
• id_propam
• s_tgl_hukuman_selesai
• s_tgl_hukuman_mulai
• s_tgl_rehab_mulai
• s_tgl_rehab_selesai
• s_tgl_binlu_mulai
• s_tgl_binlu_selesai

Dari daftar itu juga terlihat ada kolom “id_propam”. Petunjuk ini menguatkan bahwa subdomain yang diserang oleh peretas adalah situs web Divisi Profesi dan Pengamanan Polri (propam.polri.go.id).

Saat ini situs web Propam Polri itu masih bisa diakses dan tidak ada gangguan serangan perusakan halaman web (web defacement). Namun, son1x  mengaku bahwa dirinya juga mengaksesnya, tapi ia tak melakukan apa-apa.

Kepada Cyberthreat.id Rabu lalu, ia mengaku telah meretas tiga server web dari subdomain Polri. (Baca:  Peretas ‘son1x’: Ada Tiga Server Web Polri yang Saya Retas)

Dengan pernyataan terbaru hari ini, ia mengungkap dua server web yang telah ia susupi yaitu propam.polri.go.id dan e-rehab.propam.polri.go.id.

Namun, katanya, ia masih memiliki satu akses server web di subdomain Polri, tapi tidak mau membeberkannya dan hanya membagikan tampilan web shell alias backdoor (pintu belakang) di bawah ini: