Undip Klaim Data Mahasiswa dan Alumni Aman, Akan Lapor Kasus Dugaan Kebocoran Data ke Polisi

Pelaksana Tugas Wakil Rektor Undip Bidang Komunikasi dan Bisnis, Dwi Cahyo Utomo

Cybethreat.id - Pihak Universitas Diponegora (Undip) menyebut masih melakukan investigasi internal terkait dugaan kebocoran data mahasiswa dan alumni yang ditawarkan secara gratis di forum peretasan. Namun begitu, hasil penyelidikan sementara dipastikan data mahasiswanya aman dan tidak ditemukan kebocoran data. Undip berencana membawa kasusnya ke polisi.

Berbicara dalam konferensi pers virtual, Pelaksana Tugas Wakil Rektor Undip Bidang Komunikasi dan Bisnis, Dwi Cahyo Utomo, mengungkapkan saat ini Undip sedang melakukan proses investigasi internal terkait dengan dugaan kebocoran data milik 125.000 mahasiswa Undip tahun 2010 hingga 2017.

"Saat ini kami sedang melakukan proses investigasi di internal, fokus kami adalah mencari tahu apakah itu data Undip atau bukan. Kami sangat berhati-hati karena ini mencakup data sensitif dan konsekuensi hukum bagi Undip dan pihak-pihak lainnya," kata Dwi, Rabu (6 Januari 2020).

Dari hasil investigasi sementara yang dilakukan oleh tim IT internal Undip, kata Dwi, server yang dikelola oleh tim IT Undip aman dan dapat dipastikan data mahasiswa dan pendidik yang disimpan di server aman. Undip masih terus melakukan investigasi lanjutan karena menyangkut beberapa aspek yang sensitif.

"Sistim, server, dan data mahasiswa yang ada di Undip dapat dipastikan aman, sehingga teman-teman alumni dan mahasiswa tidak perlu merasa khawatir," tambah Dwi.

Dwi menambahkan, kasus ini akan dibawa ke ranah hukum. Untuk itu, pihaknya sedang fokus mengumpulkan  bukti-bukti yang memperkuat proses peradilan.

"Kami akan membawa kasus ini ke ranah hukum karena ini sudah menyangkut nama baik dan kredibilitas Undip. Kami akan sampaikan apakah benar data tersebut dari Undip atau bukan," tambahnya.

Dwi mengatakan, pihaknya menemukan adanya kejanggalan dalam data yang disebutkan milik Undip itu. Sebab, pembocor mengatakan datanya mencapai 125 ribu. Sedangkan menurut Dwi, sejak tahun 2010 hingga 2017, jika dijumlahkan hanya berkisar di 70 ribu orang.

"Data per tahun mahasiswa hanya 10.000 kalau data 7 tahun itu artinya 70.000, sehingga ada pertanyaan kok bisa mencapai 125.000," ujarnya.

Ditanya tentang detail datanya, Dwi mengaku pihaknya belum melakukan pengecekan detail secara menyeluruh terhadap semua data yang ada sehingga tidak dapat dipastikan jika benar data tersebut milik Undip. Namun, jika dilihat dari pengecekan dengan metode sampling data tersebut tidak cocok dengan data yang dimiliki dan disimpan di server Undip.

"Kami belum lakukan secara menyeluruh, tetapi kalau dari beberapa sampel yang kami ambil, data tersebut tidak cocok dengan milik Undip," ujarnya.

Dwi menambahkan, saat ini pihaknya sudah melakukan langkah antisipasi dan mitigasi internal untuk mencegah terjadinya serangan siber.

"Kami langsung lakukan langkah antisipasi dan mitigasi karena ada kecurigaan jangan-jangan ini menjadi satu pancingan untuk bisa masuk ke sistem kami," ujarnya.

Langkah mitigasi ini, kata dia, akan secara otomatis dilakukan oleh sistem. Misalnya, ketika mahasiswa login ke akun SIA Undip-nya, akan diminta untuk mengganti password dan mengubah beberapa informasi. Selain itu, hingga saat ini Sistem Informasi Akademik (SIA) masih berfungsi normal seperti biasanya.

"Mungkin ini akan sedikit mempersulit mahasiswa, tetapi ini akan membantu mahasiswa untuk mengamankan akun dan data mereka," ujarnya.

Sementara, terkait dengan pengamanan data mahasiswa Undip, Dwi mengatakan pihaknya sudah memenuhi standar keamanan yang diterapkan pemerintah seperti melakukan audit keamanan, penerapan ISO 27001 dan juga melakukan enkripsi data yang kuat. Selain itu, sistem ini juga mencatat setiap proses log yang masuk dan keluar di dalam sistem Undip.

Sebelumnya, Cyberthreat.id telah menghubungi salah satu nomor yang tercantum dalam sampel data yang dibagikan di Raid Forums. Pria bernama Hasan Mahfudi itu membenarkan dirinya adalah alumni Undip.

Mahfudi membenarkan semua data tentang dirinya yang bocor itu. Data itu, kata dia, diberikan saat pertama kali menjadi mahasiswa di kampus itu.

"Iya benar itu data saya, saya berikan ketika daftar ulang di Undip," ungkap Hasan kepada Cyberthreat.id, Selasa (5 Januari 2020).

Sementara itu,  Direktorat Tindak Pidana Siber (Dittipidsiber) Polri mengatakan tengah menganalisa kabar kebocoran basis data mahasiswa Undip itu.

"Iya lagi dicek," ujar Kasubnit II Subdit I Dittipidsiber Bareskrim Mabes Polri, Kompol Ricky Boy Sialagan kepada Cyberthreat.id, Selasa (5 Januari 2021).

Berdasarkan data yang diakses di Raid Forums, jenis data yang bocor itu cukup banyak. Ricky pun merincikan data apa saja yang dibocorkan, yaitu:

Informasi pribadi mahasiswa:
Berupa nomor peserta, nama, kode prodi, prodi, kode fakultas, fakultas, tempat lahir, tanggal lahir, jenis kelamin, golongan darah, agama, jalur masuk, nama jalur masuk, alamat, nama kabupaten, nama provinsi, hp, no.ID, kota ID, tanggal akhir ID, status marital, warga negara, kode negara, kode pos, status tempat tinggal, sambil bekerja, status mahasiswa, sumber biaya, telepon rumah, anak ke, jumlah saudara, pernah mahasiswa Undip, NIM sebelum, fakultas sebelum, angkatan sebelum, dapat beasiswa sebelum, besar beasiswa sebelum, beasiswa sebelum, alat transportasi,

Data orang tua dan saudara :
Nama ayah, nama ibu, pendidikan ayah, nama pendidikan ayah, pendidikan ibu, nama pendidikan ibu, pekerjaan ayah, nama pekerjaan ayah, pekerjaan ibu, nama pekerjaan ibu, penghasilan ortu, pendapatan ibu, nama penghasilan ortu, alamat ortu, nama kab ortu, nama provinsi ortu, hp ortu, hubungan wali, nama hubungan wali, ayah hidup, ibu hidup, jabatan ayah, golongan ayah, instansi ayah, usaha ayah, karyawan ayah, pekerjaan lain ayah, jabatan ibu, golongan ibu, instansi ibu, usaha ibu, karyawan ibu, pekerjaan lain ibu, rata pendapatan bulanan, pendapatan saudara, biaya hidup bulanan, jumlah saudara sekolah, biaya sekolah, jumlah saudara kuliah, fakultas saudara, angaktan saudara, biaya kuliah, pendidikan saudara.

Data lain
Listrik bulanan, telpon bulanan, air bulanan, biaya rokok, biaya lain, pengeluaran lain, status rumah, status lain, pendidikan saudara, punya rumah, jumlah rumah, punya sawah, luas sawah, punya mobil, jumlah mobil, tahun mobil, punya motor, jumlah motor, punya komputer, jumlah komputer, punya hp, jumah hp, punya TV, jumlah TV, punya kulkas, jumlah kulas, punya mesin cuci, jumlah mesin cuci, punya AC, jumlah AC, punya aset lain, aset lain, punya jamkesmas, punya Raskin, kondisi ekonomi,

Data sekolah
Kode sma, nama sma, nama kab sma, nama provinsi sma, tahun masuk sma, tahun ujian, jenis sma, status sma, jumlah mapel UN, jumlah nilai UN, jumlah mapel US, jumlah nilai US, tahun, email, univestias, jurusan, sks, ipk, tahun masuk D3, tahun lulus D3, spp sekolah, spp dibayarkan, uang pangkal sekolah, uang pangkal dibayarkan, beasiswa diterima, beasiswa perbulan, penanggung biaya, peringkat, finalis, dan beragam prestasi yang diminta isi seperti apakah paskibraka, OSIS, PMR, Porda, olimpiade, dan Bidikmisi.

Ricky mengatakan bahwa data itu berupa plain text semua, tidak dienkripsi.[]

Editor: Yuswardi A. Suud

Update 26 Januari 2021

Update 12 Januari 2021