Undip Akui Ada Serangan yang Diduga Membuat Data Mahasiswa Bocor

KOMPAS.com - Pada 5 Januari 2021 lalu, seorang pengguna Twitter, @fannyhasbi, menuliskan cuitan yang berisi dugaan bocornya 125.000 data mahasiswa Universitas Diponegoro.

Data itu meliputi nama, alamat, jalur masuk, email, username, password, Indeks Prestasi Kumulatif (IPK), riwayat sekolah, beasiswa, dan lainnya.

Twit itu menjadi viral dan mendapat beragam komentar.

"Breached! Lebih dari 125 ribu data mahasiswa Universitas Diponegoro (Undip) bocor. Mulai dari data pribadi lengkap mahasiswa, alamat, jalur masuk, email, username, password, IPK, riwayat sekolah, beasiswa, dan lain-lain BOCOR," ketiknya.

Dari pemberitaan sebelumnya yang melansir dari situs resmi Undip, yakni undip.ac.id, pemilik akun tersebut diketahui merupakan mahasiswa Fakultas Teknik Undip.

Undip lakukan investigasi

ist Ilustrasi Internet

Merespon hal tersebut pihak universitas segera melangsungkan investigasi. Undip bekerja sama dengan Universitas Gadjah Mada dan Universitas Indonesia dalam melakukan investigasi.

Melalui konferensi pers virtual yang digelar Selasa (19/1/2021), Undip memaparkan temuannya. Universitas Diponegoro mengakui servernya mengalami serangan yang berujung pada kebocoran data mahasiswa.

Plt Wakil Rektor III Bidang Komunikasi dan Bisnis Undip Dwi Cahyo Utomo menerangkan seusai melakukan penyelidikan, awalnya terdapat 73.000 data mahasiswa yang terkuak.

Setelah tim melakukan pencocokan data di situs RaidForums dengan data Undip menggunakan 10 field, ditemukan bahwa jumlah tersebut tidak cocok.

"Kami analisis itu, 73.000 itu kami cocokan dengan 10 field, alhamdulillah tidak ada yang identik," terang Cahyo.

Baca juga: Viral 125.000 Data Mahasiswa Undip Bocor, Ini Penjelasan Wakil Rektor

Ketika pencocokan diturunkan menjadi 5 field berupa identitas dasar, tim mendapatkan temuan ada 5.000 data yang harus didalami.

"Kami cari yang identitas dasar misalnya nama, NIM, alamat kemudian nomor handphone, 5 field. Kemudian temukan 5.000 yang harus didalami," jelasnya.

Berdasar hasil investigasi, kebocoran data berasal dari server pak.undip.ac.id yang semula dipakai untuk pemakaian angka kredit. Namun, pengembangan server tersebut terhenti karena beberapa alasan.

Menurut keterangan tertulis Undip, data-data itu didapatkan dari file bernama db.sql, yang dimodifikasi terakhir kali pada 16 April 2018. File itu antara lain berisi data mahasiswa.

Pihak Undip memaparkan file tersebut bukanlah bagian dari sistem informasi yang berjalan saat ini.

Baca juga: Unggah Informasi Kebocoran 125.000 Data Mahasiswa di Twitter, Undip Panggil Pemilik Akun

File db.sql itu dicuri pada 3 Januari 2021 tengah malam memakai program curl.
Pembobol menggunakan perangkat lunak open source Nuclei yang berfungsi memindai dan menemukan kelemahan server. Dari catatan Undip, pemindaian menggunakan Nuclei telah terjadi pada Oktober 2020.

Lebih lanjut Unidip menerangkan ada pergerakan dari beberapa negara yang coba memasuki server tersebut, di antaranya Belanda, China, Hong Kong, dan Meksiko.

Data-data itu kemudian diunggah ke situs RaidForums oleh akun yang teregister di Belanda.

Langkah Undip pascapembobolan

Mashable Ilustrasi

Pascakejadian, Undip segera menghubungi civitas dari mahasiswa yang datanya terkuak yang berasal dari Angkatan 2018 dan sebelumnya.

Langkah selanjutnya adalah penonaktifan server pak.undip.ac.id untuk memperbaiki sistem keamanan, memetakan, dan menata seluruh jaringan Undip agar aman.

Kemudian, pihak universitas mendaftarkan kembali situs-situs dalam domain Undip, sehingga situs lama ditutup dan tidak terhubung internet.

Sebagai langkah terakhir, Undip mereorganisasi pengelolaan IT agar lebih siap bila terjadi masalah serupa di kemudian hari.

Baca juga: Hasil Investigasi soal Kebocoran 125.000 Data Mahasiswa Undip

Terkait langkah hukum atas pembobolan data ini, Cahyo menjelaskan pihak kampus masih membahasnya. Begitupun terhadap pemilik akun @fannyhasbi.

"Masih kita bahas, tapi yang jelas yang bersangkutan menyampaikan bahwa saat itu tujuannya agar beware ke civitas akademika. Tapi mungkin caranya salah," ungkapnya.

Sumber: Kompas.com (Penulis: Kontributor Semarang, Riska Farasonalia | Editor: Khairina, Dony Aprian)