Senin siang, seperti biasa saya melakukan monitoring di forum-forum underground. Untuk mencari tau tentang peristiwa data breach yang mungkin saja menimpa client-client saya. Salah satu forum yang saya tuju adalah RaidForums, sebuah forum yang belakangan ramai dikenal semenjak peristiwa data breach yang menimpa tokopedia.
Ketika sedang mencari segala sesuatu yang berhubungan dengan client saya, tak sengaja saya menemukan sebuah thread di RaidForums yang dibuat oleh hojatking. Melalui thread tersebut, hojatking mengaku bahwa ia berhasil mengakses SIPP Polri yang saat ini sudah dimatikan semuanya. Selain itu ia juga mengaku bisa memodifikasi data personel Polri yang dengan mudah diakses olehnya.
Karena saya menganggap ini sebagai sesuatu yang berbahaya, saya kemudian membuat sebuah cuitan di Twitter. Tujuannya untuk memberikan peringatan kepada Polri bahwa SIPP milik mereka dibobol oleh seseorang yang belakangan berhasil di-identifikasi sebagai orang berkewarganegaraan Iran. Yang menjadi fokus perhatian saya, data personel Polri adalah data yang sangat sensitif, jika kemudian yang mendapatkan akses ini adalah orang-orang yang tidak baik, maka keselamatan anggota mereka bisa jadi dalam bahaya. Bahkan bisa jadi ini kemudian menjadi isu keamanan nasional.
Halo @DivHumas_Polri saatnya berbenah. Seseorang mengklaim sudah berhasil membobol data seluruh anggota Polri. Orang ini kemudian dengan mudahnya bisa mengakses, mencari dan mengganti data anggota Polri tersebut.
— Teguh Aprianto (@secgron) June 15, 2020
Contohnya ini, baru mutasi ke Densus 88 eh datanya udah bocor :( pic.twitter.com/kzksz2iOhD
Cuitan tersebut kemudian ramai, berbagai media mainstream membuat berita mengenai kejadian tersebut. Berbagai wartawan juga menghubungi saya dan izin untuk mengutip cuitan saya tersebut.
Hanya selang beberapa jam kemudian, berita kebobolan data anggota Polri ini kemudian dibantah.
"Enggak ada (pembobolan)," ujar Kepala Divisi Hubungan Masyarakat Polri Inspektur Jenderal Argo Yuwono saat dihubungi oleh Tempo, Senin, 15 Juni 2020.
Ketika membaca berita tersebut jujur saja saya kecewa, bukannya sibuk melakukan investigasi dan juga berbenah, mereka malah sibuk memberikan bantahan yang terlalu dini. Setelah itu saya kembali memberikan respons terhadap bantahan dari pihak Polri.
Polri sendiri pernah ga sih kebobol? Sering.
— Teguh Aprianto (@secgron) June 15, 2020
Berdasarkan https://t.co/XIHYSDp3ZI aset milik Polri (domain utama dan subdomain) sudah pernah dibobol sebanyak 259 kali. Bahkan pada tahun 2015, tampilan utama website https://t.co/XXc1Pi8MEr di-deface menggunakan tagar #SaveKPK. pic.twitter.com/O3mqrZ0YRk
Ya benar sekali, aset milik Polri memang bukan baru kali ini dibobol. Setidaknya yang terdata ada 259 kali peristiwa yang dimana domain utama dan subdomain polri.go.id diretas.
Setelah sekian jam berlalu, pada 15 Juni 2020 tepatnya pukul 21:25 WIB, saya dihubungi oleh Head of Analyst Cyber Crime Polri, Mochammad Yunus Saputra melalui Linkedin. Saya kemudian diajak untuk bekerjasama dan juga ditawari untuk menjadi konsultan di Siber Bareskrim. Tawaran tersebut kemudian saya tolak, karena selama ini saya membatasi diri untuk tidak menerima tawaran pekerjaan apapun dari lembaga pemerintah.
Pada pukul 21:33 WIB, nomor saya menerima 5 panggilan tak dikenal melalui WhatsApp yang ditolak secara otomatis oleh hp yang saya gunakan karena saat ini memang saya sedang tidak ingin menerima panggilan dari siapapun. Akun WhatsApp tersebut menggunakan foto profil Batman dan tanpa display name. Setelah saya identifikasi, nomor tersebut terdaftar atas nama Ardy Cyber Crime.
Kemudian saya kirimkan pesan ke nomor tersebut dan menanyakan apakah benar orang tersebut adalah Ardy Cyber Crime dan sekaligus menanyakan ada keperluan apa menghubungi saya malam-malam begini. Pesan tersebut sampai saat ini tidak pernah dibalas.
Besoknya pada 16 Juni 2020, sekitar pukul 14:15 WIB, rumah saya disambangi oleh 4 orang penyidik dari Bareskrim. Didampingi oleh RT dan RW setempat, saya kemudian menghampiri mereka di luar dan menyambut mereka di teras rumah. Karena saya selama ini memang tidak pernah mau menerima orang asing untuk masuk ke rumah. Setelah itu saya tanyakan apa maksud dari kedatangan mereka dan juga saya sampaikan keluhan saya mengenai salah satu anggota mereka yang menghubungi saya sembarangan.
Setelah berbicara lumayan lama, mereka menjelaskan maksud kedatangan mereka adalah meminta bantuan untuk informasi tambahan terkait kasus kebobolan data anggota Polri tersebut dan meminta untuk ikut dengan mereka saat itu juga ke Mabes Polri. Saya kemudian menghubungi salah satu kenalan saya dan meminta bantuan untuk diberikan pendampingan oleh pengacara karena saya merasa lebih nyaman didampingi oleh pengacara.
Setelah itu saya meminta mereka untuk jalan duluan dan saya akan menyusul bersama pengacara saya. Setelah 4 penyidik Bareskrim tersebut pergi, saya meluruskan informasi ke warga sekitar yang ikut meramaikan. Karena ketika sebuah rumah didatangi oleh penyidik dari Polri berbadan besar, itu bisa saja menjadi sebuah aib. Setelah saya luruskan beberapa informasi, kemudian ada ibu-ibu yang nyeletuk : "Ibu kira kamu narkoba."
Saya kemudian tertawa dan merasa lega ketika sudah selesai meluruskan berita simpang-siur tersebut. Karena kebetulan ibu saya sedang berada di rumah karena tidak bisa pulang ke Batam karena kondisi yang disebabkan oleh COVID-19 saat ini, saya juga harus menenangkan beliau. Di waktu bersamaan saya juga harus menjelaskan semuanya ke istri saya yang sebenarnya sudah saya siapkan selama ini jika peristiwa seperti ini terjadi. Jadi pada dasarnya, saya sudah siap dengan segala resiko akibat "berisiknya" saya di media sosial.
Setelah mendapatkan konfirmasi dari pengacara saya, kami memutuskan untuk datang ke Bareskrim esok hari. Besoknya ketika bangun tidur, saya membaca berita terkait peristiwa kebobolan ini di Tirto dan bantahan dari pihak Polri berubah dan mengatakan ini adalah hoax.
"Hal tersebut merupakan hoaks yang tidak terbukti. Polri sudah memastikan tidak ada pembobolan data SIPP karena variabel tangkapan layar yang beredar, tidak sama dengan SIPP yang digunakan SSDM Polri saat ini," ucap Karopenmas Mabes Polri Brigjen Pol Awi Setiyono di Mabes Polri, Selasa (16/6/2020).
Saya saat itu hanya tertawa. Karena rasanya terlalu lucu semuanya dilakukan terburu-buru dan terlihat seperti kurangnya koordinasi antara pejabat di Polri satu sama lain. Kemudian yang tak kalah lucu, tim cek fakta Kominfo yang dulu dikenal pernah blunder melabeli cuitan Veronica Koman sebagai hoax padahal adalah sesuatu yang benar, tanpa melakukan investigasi ikut melabeli berita kebobolan anggota Polri ini sebagai hoax.
Untuk membantah pernyataan dari Polri yang menyatakan bahwa ini adalah hoax, saya menambahkan beberapa bukti kuat lainnya yang diperoleh dari pelaku melalui thread yang dibuat olehnya di RaidForums. Sebuah tangkapan layar dalam bentuk video yang memperlihatkan aksi pelaku ketika berhasil mengakses data personel di SIPP milik Polri. Bagaimana mungkin dengan bukti sekuat ini, Polri dan Kominfo menyatakan ini sebagai hoax? Jika mereka terlihat kesulitan melakukan validasi terhadap sebuah berita, lalu kenapa kita masih harus percaya dengan mereka?
Video tersebut juga sudah di upload oleh pelaku dan bisa diakses oleh publik. Link video : https://t.co/zPGR6WdLPP
— Teguh Aprianto (@secgron) June 17, 2020
Jadi dasar polisi bilang ini hoax darimana? pic.twitter.com/as4gIoeqX6
Setelah itu saya dan 3 orang pengacara yang mendampingi saya tiba di lantai 15 Mabes Polri. Pertemuan hari itu lebih ke diskusi dan penambahan informasi dari saya sendiri. Dari penyidik yang saya temui hari itu terlihat tidak ada penyangkalan sama sekali, secara tidak langsung mereka juga mengakui bahwa SIPP milik mereka sudah berhasil dibobol karena mereka sudah melakukan identifikasi pelaku.
Tak lupa saya juga memberikan masukan agar pihak Polri menyediakan 1 tempat khusus untuk menerima laporan security issue yang berhubungan dengan aset milik mereka. Jadi peristiwa ini kedepannya bisa dihindari agar siapapun yang menemukan celah keamanan pada aset milik Polri bisa langsung melaporkan ke mereka. Karena menurut pengakuan pelaku (hojatking), ia sudah sempat melaporkan temuan tersebut namun tidak mendapatkan respons.
Setelah pertemuan sore itu berakhir kami saling melempar ucapan terima kasih dan berharap masalah ini dapat ditangani dengan baik semoga sistem keamanan milik Polri menjadi lebih baik kedepannya.
Sebelum pulang, saya dan 3 orang pengacara Ariehta Eleison Sembiring, S.H., LL.M, Bunga Meisa Routy Siagian, SH, MSc dan Alfeus Jebabun dari Tordillas yang mendampingi saya sore hari itu kemudian berfoto yang kemudian saya laporkan melalui cuitan di Twitter.
Didampingi 3 org pengacara dari Tordillas, baru saja selesai bertemu dgn perwakilan tim Cyber Crime Polri di lantai 15 Mabes.
— Teguh Aprianto (@secgron) June 17, 2020
Saya memberikan beberapa informasi terkait kasus kebobolan ini, tak lupa juga memberikan beberapa masukan utk menghindari kejadian ini terulang kembali. pic.twitter.com/Ktyfg7VH8D
Sore hari itu juga, saya mendapatkan konfirmasi dari salah satu follower saya di Instagram bahwa SIPP milik Polri sudah dimatikan dan tidak bisa diakses. Jadi sepertinya mereka sudah mulai melakukan mitigasi. Mungkin ini diperlukan karena hampir seluruh SIPP milik Polri sudah di-crawl oleh Google.
Masih yakin ini hoax?