Cek Data Mahasiswa Undip Bocor, Kampus Tak Temui Keidentikan

Pihak kampus Universitas Diponegoro (Undip) melakukan penyelidikan terkait viral data mahasiswa bocor.

Plt Wakil Rektor III Undip Dwi Cahyo Utomo mengatakan analisis dilakukan dengan cara mencocokkan antara data yang ada di Raidforum dengan data pihaknya yang terkoneksi dengan Pangkalan Data Ditjen Pendidikan Tinggi (Dikti) Kemendikbud.

Hasilnya, Dwi menjelaskan tidak ada kecocokan antara 73.000 data mahasiswa yang diduga bobol di Raidforum itu dengan data Undip yang terkoneksi dengan Pangkalan Data Dikti.

"Analisis dilakukan dengan menggunakan 10 field seperti nama mahasiswa, NIM, tanggal lahir, sampai nama ibu kandung, ditemukan ada kurang lebih 73 ribu data dan semuanya tidak identik," kata Dwi yang dilansir dari situs resmi Undip, Rabu (20/1).

Dwi menjelaskan tim juga melakukan investigasi terhadap sekitar 5 ribu data untuk dianalisis menggunakan 5 field data dasar. Data itu seperti nama, NIM, alamat, nomor HP dan NIK dicocokkan dengan nama ibu kandung dan tanggal lahir serta alamat.

Dari hasil analisis tersebut, lebih dari 95 persen data ditemukan tidak ada yang identik.

"Dari hasil analisis ini, data yang tersebar luas di raidforum, bukan data resmi Undip, bukan data official Undip. Saat ini kami telah meningkatkan keamanan di level pengguna sistem Undip dengan multifactor authentification," kata Dwi.

Dalam investigasi dugaan data mahasiswa Undip bocor tersebut, Dwi menyatakan pihaknya menggandeng pakar teknologi informasi (IT) dari Universitas Gajah Mada (UGM) dan Universitas Indonesia (UI).

Hasil investigasi menunjukkan kebocoran terjadi pada server pak.undip.ac.id yang awalnya akan dipakai sebagai situs penilaian angka kredit. Meskipun demikian, pengembangan situsi tersebut terhenti karena beberapa alasan.

Dwi menjelaskan file yang diambil itu bernama db.sql. File itu terakhir kali dimodifikasi pada 16 April 2018 yang antara lain berisi data mahasiswa. Namun, file itu bukan bagian dari sistem informasi yang berjalan saat ini di Undip.

"File db.sql diletakkan pada dokumen root web server, dan link ke file tidak terlihat (tersembunyi). File ini bukan merupakan bagian dari sistem informasi yang berjalan saat ini," kata Dwi.

Dwi mengatakan tindakan pelaku untuk membobol data pribadi mahasiswa menggunakan perangkat lunak yang bersifat terbuka (open source) Nuclei. Nuclei diketahui memiliki fungsi memindai dan menemukan kelemahan-kelemahan sebuah server.

"Dari hasil investigasi, pemindaian dengan menggunakan Nuclei ini sudah terjadi sejak bulan Oktober 2020," kata Dwi.

Dwi turut mencatat ada beberapa kali upaya untuk memasuki server tersebut dari berbagai negara seperti Belanda, China, Hongkong, dan Meksiko.

Dwi menjelaskan file db.sql di unduh dari Undip pada 03/01/2021 pukul 23:03:03 WIB menggunakan program curl. Setelah posisi diketahui, file kemudian diunggah ke situs raidforum pada 4 Januari 2021 pukul 01:27 WIB oleh akun muammer276 yang terdaftar di Belanda.

"Undip akan mempelajari lebih dalam terkait tindakan tersebut bersama pihak berwajib untuk menyelidiki pelakunya lebih lanjut," kata dia.

Sebelumnya, sempat viral di media sosial terkait dugaan data mahasiswa Undip bocor. Dugaan kebocoran itu pertama kali diungkap akun Twitter @fannyhasbi. Data diduga bocor itu berisikan nama, alamat, jalur masuk, email, username, password, IPK, riwayat sekolah, beasiswa, dan beberapa data penting lainnya.