Semarang, Kabarku.net – Universitas Diponegoro (Undip) Semarang, menyatakan 95% dari 125.000 data mahasiswa yang bocor tidak identik dengan data undip yang terkoneksi dengan pangkalan data Pendidikan Tinggi (Dikti).
Menurut pelaksana tugas (Plt) Wakil Rektor III Undip, Dwi Cahyo Utomo hal ini dari analisa yang dilakukan dengan cara mencocokkan 125.000 data mahasiswa Undip yang terkoneksi dengan data pangkalan data Dikti.
Analisis dilakukan dengan menggunakan 10 field seperti nama mahasiswa, NIM, tanggal lahir, sampai nama ibu kandung, ditemukan ada kurang lebih 73 ribu data dan semuanya tidak identik.
Kemudian tim investigasi mendalami sekitar lima ribu data untuk dianalisis menggunakan 5 field data dasar seperti nama, NIM, alamat, nomor HP dan NIK dicocokan dengan nama ibu kandung dan tanggal lahir serta alamat.
“Dari hasil analisis tersebut, lebih dari 95% data ditemukan tidak ada yang identik,” katanya dalam konferensi pers virtual, Selasa (19/01).
- Undip Sumbang 3 Robot Gratis Kepada Pemkot Semarang
- Polda Jateng Putar Balik 5.928 Kendaraan Pemudik
- Luar Biasa, Tiap Dua Pekan Wartawan PWI Jateng Khatamkan 30 Juz Alquran
- Cegah Covid-19, Ganjar Minta Pemerintah Hentikan Sementara Transaksi Dagang Negara Asing
- Panggung Kahanan Berakhir, Terkumpul Donasi Untuk Seniman Jateng Rp90,9 Juta
Dengan demikian, lanjut Dwi Cahyo, data yang tersebar luas di raidforum, bukan data resmi official Undip sehingga tidak bisa dipertanggungjawabkan.
“Saat ini kami telah meningkatkan keamanan di level pengguna sistem Undip dengan multifactor authentificatio,” ujarnnya.
Seperti diketahui, akun @fannyhasbi melalui media sosial Twitter, Selasa (5/1/2021) mengungkapkan bocornya dataLebih dari125 ribu data pribadi milik mahasiswa Undip Semarang .
“Breached! Lebih dari 125 ribu data mahasiswa Universitas Diponegoro (Undip) bocor Mulai dari data pribadi lengkap mahasiswa, alamat, jalur masuk, email, username, password, IPK, riwayat sekolah, beasiswa, dan lain-lain BOCOR @undip @undipmenfess,” cuitnya.
Lebih lanjut Dwi Cahyo menyatakan, Undip menggandeng pakar cyber security dan cryptography dari UI, Ir. Setiadi Yazid, M.S.c., Ph.D dan pakar IT dari UGM, Widyawan, M.Sc., Ph.D untuk melakukan investigasi informasi bocornya 125.000 data mahasiswa.
“Disimpulkan bahwa dugaan ada potensi pemanfaatan data pada domain pak.undip.ac.id yang saat kejadian tidak aktif digunakan serta belum pernah dipakai,” tandasnya.
Domain tersebut semula akan dipakai untuk Penilaian Angka Kredit (PAK), namun karena satu dan lain hal pengembangan aplikasi tersebut terhenti.
File yang diambil dari server tersebut bernama db.sql, terakhir kali dimodifikasi pada tanggal 16 April 2018, antara lain berisi data mahasiswa.
File db.sql diletakkan pada dokumen root web server, dan link ke file tidak terlihat (tersembunyi). File ini bukan merupakan bagian dari sistem informasi yang berjalan saat ini.
Pakar cyber security dan cryptography Universitas Indonsia (UI) Jakarta, Ir. Setiadi Yazid menjelaskan,
bahwa tindakan pelaku dimulai dengan menggunakan perangkat lunak open source Nuclei.
Nuclei berfungsi memindai dan menemukan kelemahan-kelemahan sebuah server. Dari hasil kajian bersama, pemindaian dengan menggunakan Nuclei ini sudah terjadi sejak bulan Oktober 2020.
“File db.sql di unduh dari Undip pada 03/01/2021 pukul 23:03:03 WIB menggunakan program curl, setelah posisi file diketahui dari hasil pemindaian dengan Nuclei pada tanggal yang sama. File kemudian diunggah ke situs raidforum pada 4 Januari 2021 pukul 01:27 WIB oleh akun muammer276 yang terdaftar di Belanda,” jelasnya.
Raidforum adalah sebuah situs tempat para hacker menawarkan data yang diperolehnya. Dalam kasus ini file tersebut bebas diunduh siapa saja.
“Sehingga tim kajian menyimpulkan bahwa tindakan ini lebih bermotif untuk mendapatkan pengakuan,” kata Setiadi.
