Sebelum membaca, harap dipahami dulu maksud dan tujuan tulisan ini. Tulisan ini tidak punya maksud buruk apapun. Tulisan ini hanya dimaksudkan untuk keperluan pengetahuan. Hanya sebatas mempelajari, menganalisis, dan menguji jaringan server KJP. Hanya berusaha memberitahukan agar website tersebut terus dievaluasi, diperbaiki, ditingkatkan, dan dikembangkan menjadi lebih baik lagi.
Di atas segalanya, mari hormati pengetahuan & kebebasan informasi. Tulisan ini juga tidak bertujuan mengambil keuntungan yang tidak fair.
Sejak awal Juli 2015, website informasi KJP (Kartu Jakarta Pintar) menggunakan alamat url baru dan dengan sistem yang baru pula. Website informasi KJP sempat berganti-ganti alamat url, antara lain www.infokjp.net, http://kjp.disdikdki.info/. Untuk saat ini, menggunakan alamat url kjp.jakarta.go.id.
Di sistem administrasi dan website yang baru ini menampilkan berbagi informasi yang terbilang cukup lengkap (informatif) bagi pengunjungnya, antara lain informasi:
Sistem pada website ini juga melayani kebutuhan akses berbagai pengguna; Penerima KJP, Operator Sekolah, Operator Suku Dinas Pendidikan, Pelayanan Terpadu Satu Pintu (PTSP), Kasi Pendidikan Kecamatan, Bank DKI, Kantor Kementrian Agama, dan Pengelola Website itu sendiri (P6O).
Tapi tampaknya website dengan sistem besar dan mencakup keterlibatan banyak pihak ini kurang user friendly (nyaman digunakan) untuk sebagian operator. Ini terlihat dari banyaknya keluhan dari operator, terutama operator sekolah yang tampak kesulitan. Entah karena belum terbiasa atau memang kurang disosialisasikan. Lembar pengaduan yang tersedia didominasi oleh masalah-masalah operator sekolah.
 |
| pengaduan dari operator |
Yang lebih mengejutkan, ternyata juga ada beberapa faktor keamanan database yang terabaikan pada website ini. Jika bagian dari website yang berkeamanan rendah ini tidak segera diperbaiki, bukan tidak mungkin website ini menjadi rawan untuk aksi penetrasi/peretasan/hacking. Jika aksi peretasan ini berhasil dilakukan oleh pihak yang tidak bertanggung jawab dan pelakunya mendapatkan hak akses level Administrator, akan sangat membahayakan mengingat website ini menyimpan informasi dari ribuan penerima bantuan KJP, ribuan calon penerima bantuan KJP, ratusan user dari berbagai instansi dengan hak akses mengajukan, memverifikasi, menyetujui, membatalkan, memblokir, dsb.
Dari hasil pengujian yang dilakukan tanggal 23 s.d 26 September 2015 menggunakan metode Blind SQL Injection, rata-rata pengujian dilakukan hanya 40 menit. Ditemukan 2 alamat url yang rentan terhadap Blind SQL Injection.
 |
| Hasil Pengujian |
 |
| detail hasil pengujian url 1 |
 |
| detail hasil pengujian url 2 |
Dari lubang keamanan tersebut bisa menjadi celah masuk ke dalam sistem dan membedah "jeroan" database sistem administrasi KJP. Dan tahapan selanjutnya setelah mendapatkan akses ke database.... apakah merugikan atau tidak, merusak atau tidak....? tergantung dari tujuan si pelaku...
Sekian review singkat mengenai website KJP. Review ini ditulis berdasarkan fakta yang dapat dibuktikan secara ilmiah baik metode maupun hasilnya. Sebelum tulisan ini dipublikasi, telah disampaikan / diberitahukan hasil pengujian ini kepada pengelola website informasi KJP (P6O) melalui jalur kontak yang tersedia pada website tersebut. Mudah-mudahan pemberitahuan sudah diterima dan sudah ditindak lanjuti sehingga dapat memenuhi harapan sebagaimana disebutkan pada awal tulisan ini.
0 komentar: