Baca berita dengan sedikit iklan, klik di sini
Poin penting
Situs web milik pemerintah Sumatera Barat berkali-kali disusupi situs judi online.
Banyak celah yang membuat website pemerintah mudah diretas oleh situs judi online.
Kunci utama mencegah peretasan adalah sering memperbarui sistem.
JAKARTA – Dinas Komunikasi dan Informatika Sumatera Barat tak berdaya menghadapi serangan bertubi-tubi situs web judi online terhadap situs milik pemerintah provinsi. Jumat, 25 Agustus 2023, dua website milik pemerintah provinsi kembali disusupi situs judi online. Kedua situs yang diretas itu adalah Diskominfotik.sumbarprov.go.id dan Bpsdm.sumbarprov.go.id.
Baca berita dengan sedikit iklan, klik di sini
Kedua website ini dikelola Dinas Komunikasi dan Informatika serta Badan Pengembangan Sumber Daya Manusia Sumatera Barat. Saat Tempo membuka kedua situs tersebut pada kemarin malam, terdapat tulisan yang menginformasikan bahwa website sedang ditangguhkan.
Baca berita dengan sedikit iklan, klik di sini
Kepala Dinas Komunikasi dan Informatika Sumatera Barat, Siti Aisyah, mengatakan serangan judi online terhadap kedua website pemerintah daerah tersebut merupakan pengulangan dari berkali-kali kejadian serupa sebelumnya. Dalam catatan Dinas Komunikasi, selalu ada website milik pemerintah Sumatera Barat yang disusupi situs judi online setiap bulan.
Siti mengatakan tim Dinas Komunikasi sudah berusaha melawan serangan situs judi online itu. Tim mereka rajin membersihkan keberadaan situs judi online yang menyelinap ke website pemerintah. Namun, "Peretas sudah lebih canggih," kata dia, kemarin.
Selain membersihkannya, kata Siti, Dinas Komunikasi akan men-take down setiap website yang telanjur disusupi judi online. Setelah itu, tim Dinas Komunikasi akan memperbaikinya.
Baca juga :
Temuan Transaksi Judi Online Ratusan Triliun Rupiah
Judi Online Beromzet Rp 15 Miliar
Kondisi serupa terjadi pada situs milik Balai Besar Pelatihan Vokasi dan Produktivitas (BBPVP) Medan Kementerian Ketenagakerjaan, yaitu Bbplkmedan.kemnaker.go.id. Situs judi online "Slot Gacor" terpampang di laman website tersebut, kemarin.
Anggota Biro Humas Kementerian Ketenagakerjaan, Rintoko Al Muhtaj, mengatakan pihaknya segera menghubungi tim teknologi informasi untuk mengatasi serangan situs judi online tersebut.
Founder Drone Emprit, Ismail Fahmi. TEMPO/Hilman Fathurrahman W
Drone Emprit—sistem monitor dan analisis media sosial—menemukan sekitar 4 juta situs judi online yang menyusup ke website resmi milik pemerintah dan 1,2 juta situs judi online di website lembaga pendidikan pada 22 Agustus lalu. Website pemerintah menggunakan domain ".go.id" dan institusi pendidikan memakai domain ".ac.id".
Tempo juga mencoba menelusurinya secara sederhana dengan menggunakan dua kata kunci, yaitu "gacor" dan "slot", pada mesin pencari Google dengan menggunakan dorks site:go.id dan site:ac.id, kemarin. Hasilnya, dengan menggunakan kata "gacor", ditemukan 4,16 juta website pemerintah dan 1,26 website institusi pendidikan. Saat menggunakan kata "slot", terdeteksi 5,55 juta situs pemerintah dan 4,1 juta situs pendidikan. Angka tersebut mengartikan jumlah website pemerintah ataupun lembaga pendidikan yang pernah disusupi situs judi online.
Pendiri Drone Emprit, Ismail Fahmi, mengatakan informasi itu merupakan data yang direkam Google selama ini. "Jumlah itu ditampilkan Google berdasarkan daftar situs yang pernah kebocoran, halaman diganti, atau halaman diinjeksi," kata Ismail, kemarin.
Ia menuturkan ada berbagai macam faktor sehingga situs judi online dapat menyelinap ke website pemerintah. Faktor itu antara lain website diretas, deface atau mengubah tampilan website, pengelola tidak sadar atau tidak merawat situsnya, serta pengelola tidak meneruskan kontrak ke pihak ketiga.
Menurut Ismail, fakta tersebut membuktikan bahwa keamanan siber website milik pemerintah sangat lemah. Ia menduga penyebabnya adalah situs pemerintah biasanya menggunakan platform content management system, seperti WordPress, yang tak rutin diperbarui. Padahal penggunaan WordPress ini perlu terus-menerus diperbarui untuk menutupi celah kebocoran.
Masalah lainnya, kata dia, sumber daya manusia pengelola website pemerintah masih kurang. "Kebanyakan pegawai pemerintah hanya bekerja sebagai admin web, bukan ahli IT," kata Ismail.
Direktur Eksekutif Siber Sehat Indonesia (SSI), Ibnu Dwi Cahyo, mengatakan serangan siber ini biasa menggunakan deface. Ia berpendapat, serangan seperti ini seharusnya mudah dicegah dengan cara menempatkan ahli keamanan siber sebagai pengelola situs. Ahli keamanan siber itu akan memantau gerakan aneh yang mencoba meretas website.
Namun, kata dia, rata-rata pegawai pemerintah yang mengelola website hanya bertugas sebagai admin. Mereka tak memahami urusan keamanan siber. "Lemahnya pengawasan itulah yang dimanfaatkan," kata Ibnu.
Ia melanjutkan, lembaganya juga menemukan adanya serangan situs judi online dengan jalan menempatkan iklan atau ikon yang menyempil pada situs pemerintah. Saat itu terjadi, pegawai pemerintah yang mengelola situs menganggapnya bukan serangan siber karena tidak mengubah tampilan website.
Menurut Ibnu, pelaku judi online sangat diuntungkan ketika dapat menempelkan situs mereka di website pemerintah ataupun lembaga pendidikan. Sebab, website pemerintah memiliki optimasi mesin pencari atau SEO yang tinggi, sehingga situs judi online otomatis akan muncul di halaman depan.
Ketika itu terjadi, kata dia, pemerintah biasanya akan menempuh langkah pemblokiran website. Sesuai dengan data Kementerian Komunikasi dan Informatika, 846.047 situs judi online diblokir sejak 2018 hingga Juli 2023.
Ia menganggap cara ini tidak menyelesaikan masalah karena bandar judi online dapat mencari situs lain untuk ditempati. Di samping itu, butuh waktu lama untuk memblokir situs pemerintah karena harus memindahkan datanya lebih dulu. Saat website diblokir, semua data di dalamnya akan hilang.
Direktur Jenderal Informasi dan Komunikasi Kementerian Komunikasi dan Informatika, Usman Kansong, mengatakan pihaknya sudah mengetahui data Drone Emprit tersebut. Namun, kata dia, pelindungan website menjadi kewajiban setiap pengelolanya. "Kami mendorong pengelola situs pemerintah meningkatkan sistem pertahanan situsnya," kata Usman.
Menurut dia, Kementerian Komunikasi hanya berurusan dengan konten di ruang digital. Saat menemukan pelanggaran konten, kata dia, Kementerian Komunikasi akan memblokirnya. Dalam satu tahun terakhir, Kementerian sudah memblokir 5.000 website yang disusupi situs judi online.
Direktur Tindak Pidana Siber Bareskrim, Brigadir Jenderal Adi Vivid Agustiadi Bachtiar, belum bersedia menjawab permintaan konfirmasi Tempo soal ini. Ia meminta agar menunggu rilis lembaganya, Senin pekan depan. "Nanti sekalian rilis kasus judi online," kata Adi.
Kepala Biro Penerangan Masyarakat Divisi Humas Polri, Brigadir Jenderal Ahmad Ramadhan, mengatakan Direktorat Tindak Pidana Siber akan menindaklanjuti temuan Drone Emprit tersebut. Direktorat Tindak Pidana Siber juga akan bekerja sama dengan Kementerian Komunikasi untuk menanganinya. "Salah satu poin penting adalah kerja sama dalam mengatasi maraknya judi online," kata Ramadhan.
Polisi menggerebek markas judi online di apartemen di Cengkareng, Jakarta, 15 Januari 2023. Dok. Polres Metro Jakarta Barat
Serangan ke Situs Kampus
Website milik Universitas Airlangga juga sempat disusupi oleh situs judi online "Slot". Dosen Fakultas Teknologi Maju dan Multidisiplin Universitas Airlangga, Muhammad Noor Fakhruzzaman, mengatakan, setelah kasus itu, kampus menunjuknya sebagai koordinator tim untuk menangani serangan siber tersebut.
Ia menyebutkan serangan situs judi online ke website kampusnya terjadi karena awalnya mereka tak mempunyai tim khusus di bidang keamanan siber. "Selama ini hanya dipegang oleh orang humas," kata Ruzza—demikian Noor Fakhruzzaman kerap dipanggil.
Ruzza yakin kondisi sumber daya manusia di kampusnya tersebut juga terjadi di lembaga pemerintah sehingga situs judi online leluasa menyusup ke website pemerintah. Sesuai dengan temuan Ruzza, serangan situs judi online pada umumnya hanya menempatkan patch dalam hosting. Patch itu menjadi satu bagian dengan komponen-komponen situs utama.
Cara menyusup seperti ini, kata dia, memanfaatkan celah keamanan website, yakni dengan mencari backdoor atau application programming interface (API) yang terbuka, lalu mengirim post request—mengirim data lewat format tertentu—secara jarak jauh. Berbeda dengan cara konvensional, di mana penyusup harus membobol user dan password admin.
Menurut Ruzza, celah lain untuk menyusup terbuka karena pemerintah menggunakan struktur content management system atau sistem manajemen konten yang mudah ditebak. Content management system merupakan perangkat lunak yang digunakan untuk mengelola, menambahkan, atau memanipulasi isi website. Setelah berhasil menyusup, kata dia, peretas akan membuat direktori baru yang terhubung ke situs judi online. Direktori baru itu tidak mengganggu situs utama.
"Direktori inilah yang diisi halaman judi online. Kalau dilihat dari URL, itu seolah-olah melalui website situs utama. Padahal situs utama juga tidak ada link yang mengarahkan ke situs judi online itu. Jadi, memang benar-benar hanya memanfaatkan URL situs utama," ujar Ruzza.
Ia berpendapat, serangan siber seperti ini bukan malware. Sebab, serangan siber ini hanya menempatkan link situs judi online ke website pemerintah atau lembaga pendidikan. Saat masuk ke halaman situs judi online, user juga tidak akan mendapat serangan, seperti spam e-mail.
Namun Ruzza menduga motif situs judi online tersebut adalah berupaya meningkatkan rating mereka di Google Search dengan jalan menyisipkan konten dan backlink pada halaman situs berdomain .ac.id maupun .go.id. Dengan begitu, rating situs judi online tersebut akan meningkat drastis. "Keuntungannya, situs judi akan muncul di mesin pencari dengan ranking tinggi," ujarnya.
Meski serangan situs judi online belum berbahaya, semua pihak wajib meningkatkan kewaspadaan. Sebab, suatu saat, kata Ruzza, penyusup akan menanam exploit—seperangkat perintah atau data—yang lebih berbahaya untuk keamanan data secara keseluruhan.
HENDRIK YAPUTRA | AGOENG WIJAYA | ANDI ADAM FATHURRAHMAN | FACHRI HAMZAH (PADANG)
- Akses edisi mingguan dari Tahun 1971
- Akses penuh seluruh artikel Tempo+
- Baca dengan lebih sedikit gangguan iklan
- Fitur baca cepat di edisi Mingguan
- Anda Mendukung Independensi Jurnalisme Tempo