Peretas Klaim Temukan Kelemahan Sistem IT KPU di Pilpres 2014

Jakarta - Peretas Indonesia bersertifikat berinisial A. merilis ke sebuah blog hasil temuannya terkait sistem keamanan Teknologi Informasi (TI) KPU pada Pemilihan Presiden 2014 yang baru saja usai.

Di dalam blog miliknya A mengklaim bahwa banyak kelemahan yang terdapat dalam sistem keamanan IT KPU.

Celah pertama, A. menemukan sistem keamanan surel para komisioner KPU terlalu mudah ditembus oleh peretas yang ingin jail. Menurutnya sebuah lembaga resmi Negara seharusnya memiliki sistem surel berbayar yang memiliki tingkat keamanan tinggi.

"Saya jadi bertanya. Mengatur pemilu bukan pekerjaan main-main. Kenapa gunakan email gratisan yang mudah diretas? Apa mungkin disengaja?" Tulisnya dalam blog tersebut.

A. Melanjutkan, hanya dengan mengirim e-mail pishing ke salah satu komisioner. Tidak sampai dua jam, dia sudah dapat mengakses dan membaca semua surel yang pernah dikirim dan diterima komisioner KPU.

Selanjutnya, A. mendapati celah, karena, para komisioner KPU berkirim username dan password di e-mail mereka. "Saya sungguh terkejut. Saya langsung dapat password ke Sistem Logistik KPU," tulisnya.

Selain username dan password untuk sistem logistik, di e-mail para komisioner A. juga menemukan username dan password untuk drop box dan real count, sistem data pemilih dan sistem untuk mengelola situs kpu.

"Ini juga membuat saya bingung. Berbagai password dikirimkan begitu saja oleh admin melalui email. Apakah ingin memudahkan hacker untuk masuk sistem?," tulis peretas yang mengaku bersertifikat CEH (Certified Ethical Hacker) tersebut.

Selain itu, A menemukan, password yang dikirim admin situs KPU memiliki kode yang mudah ditebak.

Sebagai contoh A menunjukkan salah satu password KPU yang pernah digunakan seperti, 4dm1n80njol@w1w1k. Username: kpuadmin.

"Banyak password sistem IT KPU menggunakan pola yang sama. Apakah agar mudah diingat... Atau agar mudah diretas. Maaf jika saya berpikir yang tidak-tidak, karena saya dilatih untuk mencermati pola," tulisnya.

Celah berikutnya, menurut A, semua komisioner KPU yang memiliki username dan password sistem data pemilih dapat mengubah data yang ada di server situs KPU.

"Dengan sistem ini KPU mengatur nama-nama yang masuk ke Daftar Pemilih Sementara (DPS) dan Daftar Pemilih Tetap (DPT)," imbuhnya. Selain sistem data pemilih, A menyebutkan, komisioner juga bisa mengotak-atik sistem logistik Pemilu.

Kendati banyak celah, yang menurut A, sangat lemah sehingga peretas jail manapun bisa membobol sistem keamanan IT KPU, A. mengapresiasi sistem scan formulir C1.

"Sistem scan formulir C1 yang dibuat oleh tim KPU menurut saya sangat bagus. Antarmuka aplikasi didesain sederhana, tidak banyak isian. Ini pastinya membantu meningkatkan penggunaan sistem," tulisnya.

Dilain pihak, sebelumnya pada rapat pleno PPLN dan Nasional, Ketua KPU Husni Kamil Manik menegaskan, meskipun KPU menerima dokumen elektronik hasil rekapitulasi suara di setiap tingkatnya, dalam rapat pleno tersebut, hanya dokumen yang asli yang jadi pertimbangan KPU.