BLANTERWISDOM101

NIK Presiden Bocor, Ini Cara Bruteforce-nya

Minggu, 05 September 2021


 Kabar kebocoran data pribadi yang kerap berseliweran di Indonesia menjadikan negara ini bisa saja dijuluki negara paling "open source" bukan hanya untuk aplikasi atau program semata, namun juga untuk data pribadi. Sangat lucu jika kita tidak mengakui bahwa keamanan dalam sistem komputerisasi di negara ini yang sangat lemah.

Terdapat berita sertifikat vaksin presiden bocor ke publik dan digambar tersebut terdapat NIK yang dalam hal ini merupakan data pribadi miliknya. Dari banyaknya media yang memberitakan kita masih belum memastikan itu adalah gambar sertifikat hasil editan atau memang terdapat orang yang iseng login menggunakan NIK nya lalu menyebarkan gambar tersebut. Karena terdapat pula pernyataan dari pengelola pedulilindungi.id bahwa memang ada kebocoran data namun riset kami belum memastikan metode apa yang dilakukan pelaku atau hacker ini. Karena URL dari gambar sertifikat dibuat dari ID sertifikat yang berbentuk suatu digit kode heksadesimal dan sepertinya digenerate menggunakan hash.

Namun, kita akan membahas bagaimana jika kita bisa login dan mengecek dengan mem-bruteforce NIK dari target. Tapi sebelumnya kita perlu tahu dasar dari pembuatan NIK dulu.

Kode Angka Tentang NIK

Sebelumnya, dasar dari angka - angka tersebut asalnya darimana kita harus tahu. Maka dasar pembuatan NIK adalah:
  • NIK terdiri dari 16 digit angka
  • 2 digit pertama adalah kode wilayah Propinsi
  • 2 digit kedua adalah kode kabupaten/kota
  • 2 digit ketiga adalah kode kecamatan
  • 2 digit keempat adalah tanggal lahir, khusus wanita sistem komputerisasi nya adalah tanggal lahir + 40. Jadi misal lahir pada tanggal 07 maka hasil komputerisasi adalah 47.
  • 2 digit kelima adalah bulan lahir
  • 2 digit keenam adalah 2 angka terakhir pada tahun lahir.
  • 4 digit diakhir adalah nomor urut yang diurutkan sesuai pendaftaran oleh SIAK (Sistem Informasi Administrasi Kependudukan).

NIK dibentuk secara struktural dan komputerisasi oleh sistem di dukcapil. Dengan mengetahui asal usul tersebut kita dapat men-generate banyak NIK yang pasti bisa didapatkan bentuk asli NIK target.

Kita juga bisa dibantu dengan menggunakan berbagai macam alat hacking seperti OSINT untuk mencari kebocoran data pribadi yang seharusnya bersifat rahasia, dengan bot yang mencari sendiri menggunakan keyword yang kita inputkan pada program atau proses ini dilakukan secara dorking pada Google. Bahkan bisa saja data pribadi kita terdapat pada forum data leakage yang sudah terkenal seperti RaidForums.

Saat sudah mengetahui dasar membuat NIK, maka seharusnya kita lebih mudah untuk membuat alat generator untuk melakukan generate ribuan NIK. Dan jika kita lakukan login pada website pemerintahan yang harus menginputkan NIK dan ternyata bisa, seperti untuk mengecek vaksinasi covid19 pada website pedulilindungi.id, maka website tersebut terdapat celah keamanan yang cukup brutal karena bisa disebut dengan arbitrary set personal data. Pasti cukup menegangkan bagi yang mendengarnya.

Bagi yang berdomisili di Propinsi Jawa Tengah pasti sudah banyak tahu kodenya adalah 33, jika kita satu kota dengan target, maka lebih mudah lagi untuk generate nya. Misal kota kita diberi kode 72. Dan untuk tanggal kelahiran itu pasti bersifat publik, apalagi soal public figure, meskipun ada minor yang merahasiakannya. Soal kode wilayah kecamatan bisa kita generate acak, dan empat digit terakhir mungkin bisa generate dari 0001 sampai 0010 karena umumnya algoritma sistem pengurutan data untuk digit ini diambil dari keluarga sendiri, karena sangat kecil sekali kemungkinannya dalam 1 kecamatan itu bertanggal lahir yang sama.

Share This :
Arya Kresna

Hanya seorang pelajar yang hobi nya membuat kode dan berharap karya nya bermanfaat bagi orang lain.

0 komentar