Data Mahasiswanya Bocor di Forum Peretas, Ini yang Disarankan Pakar ke Undip
Cyberthreat.id – Universitas Diponegoro (Undip) di Semarang, Jawa Tengah disarankan mengaudit seluruh sistem teknologi informasi kampus menyusul basis 125.000 mahasiswa ditawarkan gratis di RaidForums, forum jual beli data curian hasil peretasan.
Kepala Pusat Studi Forensika Digital Universitas Islam Indonesia (UII) Yogyakarta, Yudi Prayudi, mengatakan, audit tersebut untuk mengetahui di mana letak celah yang menjadi penyebab bocornya data tersebut.
Selain itu, audit tersebut juga berguna untuk memantau dan memastikan tidak ada lagi “lubang” lain yang dieksploitasi peretas yang bisa berdampak ke bagian lain dari sistem TI-nya.
Menurut Yudi, audit sistem TI memang seharusnya dilakukan secara berkala (bisa setahun sekali, layaknya di industri perbankan), tidak hanya saat ada kejadian kebocoran data.
“Audit berkala membuat kejadian seperti kebocoran data dapat dicegah. Audit sifatnya preventif dan evaluasi,” kata Yudi saat dihubungi oleh Cyberthreat.id, Selasa (5 Januari 2021).
Berita Terkait
- Gawat! Database Universitas Diponegoro Bocor, Ditawarkan di Forum Peretasan
- Kata Polisi Siber Soal Data Mahasiswa Undip yang Dibocorkan di Forum Peretasan
Yang menjadi permasalahan, kata dia, siapa yang mewajibkan audit? Jika di industri perbankan, ada Otoritas Jasa Keuangan (OJK) yang mewajibkan bank-bank melakukan audit setahun sekali.
Sementara di lingkup pendidikan tinggi, kata dia, sejauh ini belum pernah ada aturan yang mewajibkan agar tiap-tiap perguruan tinggi melakukan audit sistem TI-nya.
Sepengetahuan dirinya Kementerian Pendidikan dan Kebudayaan RI juga tak pernah membuat imbauan audit sistem TI.
Setelah melihat data yang terekspose di RaidForums, Yudi mengatakan, data tersebut adalah data lama yang tampaknya tidak relevan lagi.
Barangkali, kata dia, ketika sistem TI mereka diperbarui, kampus tidak mengetahui adanya kebocoran data tersebut.
"Rantainya panjang dalam bisnis data leak ini. Data-data yang ditawarkan di forum-forum tidak selalu data updated. Beberapa adalah data lama," ujarnya.
Terlepas dari itu, Yudi menyayangkan, basis data itu tidak terenkripsi. "Harusnya data-data tersebut memang terenkripsi. Mungkin ada salah setting dari programmer-nya sehingga bagian tersebut tidak terenkripsi," ujarnya.
Yang menjadi kekhawatiran Yudi ialah data yang "telanjang" itu dapat dikoleksi oleh orang jahat dan dimanfaatkan untuk tindakan kriminal.
Terpisah, Pakar keamanan siber dari PT Vaksincom Alfons Tanujaya menduga tim TI Undip melakukan enkripsi dua arah terhadap basis data yang ada. Jika enkripsi seperti ini, kunci dekripsinya ada di server dan bisa digunakan oleh server.
Dengan kata lain, jika kunci enkripsi di server berhasil didapatkan oleh peretas, maka enkripsinya jebol.
"Kemungkinannya kredensialnya dipakai kembali oleh sistem. Jadi, tidak diamankan satu arah," ujar Alfons, Selasa.
Dengan melihat data yang cukup lengkap ditawarkan di forum itu, menurut Alfons, seharusnya Undip melakukan enkripsi satu arah untuk data penting supaya tidak mudah didekripsi.
Ada dua kemungkinan terkait kebocoran data itu: peretas benar-benar membobol data langsung atau hanya menyalin data dari pembobol, lalu menawarkannya saja ke forum.[]
Redaktur: Andi Nugroho
Update: