Data SPMB Batam Diduga Bocor, Peneliti Anonymous Sudah Ingatkan Jauh Hari

SuaraBatam.id - Portal Sistem Penerimaan Murid Baru (SPMB) Kota Batam diduga bocor hingga ribuan data pribadi tersebar menjadi perbincangan di media sosial.

Seorang peneliti keamanan siber yang enggan disebutkan identitasnya mengaku telah menemukan celah serius pada portal SPMB Batam.

Dia menyampaikan kepada Pemkot Batam melalui surat elektronik, namun tidak mendapat tanggapan. Pengakuan itu muncul sepekan sebelum isu kebocoran data SPMB Batam ramai diperbincangkan di media sosial.

Kepada Batamnews--jaringan Suara.com, peneliti ini memperkenalkan diri sebagai peneliti keamanan siber independen yang menemukan dugaan kerentanan bertipe Insecure Direct Object Reference (IDOR) atau Broken Object Level Authorization (BOLA) pada sistem SPMB Kota Batam.

Menurutnya, celah tersebut memungkinkan seseorang mengakses dokumen milik pendaftar tanpa izin melalui manipulasi parameter tertentu pada aplikasi.

"Saya menemukan indikasi bahwa data pribadi calon peserta didik dapat diakses melalui manipulasi parameter tertentu," tulis dalam surat elektronik yang diterima sepekan sebelum isu kebocoran data viral.

Dia menegaskan tidak membagikan rincian teknis metode eksploitasi. Kekhawatirannya, informasi itu disalahgunakan sebelum pemerintah melakukan mitigasi.

Ia mengaku telah melaporkan temuannya kepada instansi berwenang, termasuk lembaga keamanan siber nasional, sebagai bentuk responsible disclosure.

Beberapa hari setelah laporan awal, peneliti anonim itu kembali menghubungi redaksi. Ia menyebut jumlah data yang dapat diakses mengalami peningkatan dibandingkan saat temuan pertama.

"Setelah saya melakukan pengecekan kembali, saya melihat adanya penambahan data yang dapat diakses dibandingkan saat temuan awal saya laporkan sehingga indikasi dampaknya kemungkinan lebih besar dari yang sebelumnya saya perkirakan," tulisnya.

Ia belum dapat memastikan jumlah pasti data terdampak karena informasi pada sistem terus diperbarui setiap hari. Sebagai bentuk pembuktian, ia menawarkan sesi demonstrasi melalui Proton Meet.

Dalam sesi itu, ia bersedia melakukan screen sharing untuk memperlihatkan temuan tanpa membuka identitas pribadi.

"Apabila kerentanan ini tidak segera ditangani maka data penduduk Batam yang terdampak berpotensi disalahgunakan oleh pihak yang tidak bertanggung jawab," tulisnya.

Ia juga mengaku menemukan contoh data yang telah beredar di internet melalui forum yang biasa digunakan pelaku kejahatan siber.

Sepekan setelah korespondensi itu diterima, dugaan kebocoran data SPMB Batam ramai diperbincangkan di media sosial.