Nasional, SAKATA.ID: Web sistem pendataan Data Pokok Pendidikan atau Dapodik dinilai rentan diretas.
Hal tersebut diungkap oleh warganet di media sosial Twitter dengan nama akun @fransallen. Ia kerap membuat utas yang berkaitan dnegan dunia siber.
Diketahui bahwa dapodik merupakan sistem yang dikelolah Kementerian Pendidikan dan Kebudayaan (Kemendikbud).
Sistem pendataan Dapodik dibuat berdasar pada Instruksi Menteri Pendidikan Nomor 2 Tahun 2011 tentang Pengelolaan Data Pokok Pendidikan. Serta Permendikbud Nomor 79 tahun 2015 tentang Dapodik.
Dengan sistem ini, dapat mengumpulkan dan mengelola data yang terintegrasi untuk seluruh jenjang dan seluruh entitas data pokok pendidikan. Input data dilakukan oleh sekolah. Serta dikirim secara real-time ke Kementerian Pendidikan dan Kebudayaan.
Menurut dia, web pendataan Dapodik terbelalak sehingga mudah untuk diretas. Karena- tanpa menggunakan Hypertext Transfer Protocol Secure atau HTTPS.
“Web data pokok pendidikan terbuka terbelalak tanpa HTTPS = not secure-no domain name. IP address only-port tiga digit. Misal: 577 – link login ditaruh di halaman depan. Dan tidak disembunyikan dari search engine,” tulis dia.
Dalam utasnya itu, dia menjelaskan terkait aplikasi Dapodik. Bahwa aplikasi tersebut berfungsi untuk menjaring data pokok pendidikan (Satuan Pendidikan, Peserta Didik serta Pendidik dan Tenaga Kependidikan) yang akan dimanfaatkan dalam berbagai kebijakan pendidikan yaitu BOS, Bansos, Tunjangan, UN, dan lain-lain.
“Ada data apa saja di Dapodik? – Nama lengkap – Alamat lengkap – Surat-surat penting – KIP/PIP Dan buanyak lainnya. Bisa cek di changelog mereka,” tulisnya.
Menurutnya, siapa pun ketika menginput data ke formulir di laman yang tidak HTTPS, maka siapapun yang punya kendali akan jaringan internet yang digunakan bisa melihat data yang dikirimkan tersebut. Alasannya adalah karena tidak terenkripsi.
Dari hasil pengamatannya, banyak website pemerintah yang tidak memiliki keamanan cukup. Salah satunya adalah web Dapodik.
“Jelas nggak ada skenario untuk prevent brute force. Lha wong Access Control List (ACL) aja tidak dipedulikan,” kesalnya.
“Itu Dapodik, penggunaan yang seharusnya kan offline. Nah kalau menemukan online, berarti yang deploy bukan orang yang paham internet security,” tuturnya.
Ia mengungkapkan bauwa menemukan Dapodik pertama dari website sekolah adiknya di salah satu SMP yang ada di Yogyakarta.
“Di Navbar ada link login Dapodik. Terus cari “Dapodik” di Google. Ternyata banyak instalasi yang terekspos. Setiap sekolah punya instalasi Dapodik sendiri dan harusnya itu nggak terakses sama public internet,” tegas dia.
Dia juga menjelaskan, website non-HTTPS berbahaya saat pengguna melakukan submit form. “Intinya jangan pernah isi form di website yang nggak HTTPS,” pesan dia.