Setelah Topik “Peretasan Sistem IT KPU Pilpres 2014” Mengemuka, Ketua KPU Husni Kamil Meninggal Mendadak

husni kpuEramuslim.com – Ketua KPU Husni Kamil Manik tutup usia dalam usia 41 tahun pada Kamis 7 Juli 2016 sekitar pukul 21.00 WIB. Sosok Husni dan angota KPU lainnya adalah para pengantar kemenangan Jokowi-JK dalam Pilpres kemarin yang diduga kuat sarat dengan kecurangan dan keberpihakan terhadap pasangan ini, salah satu kasusnya adalah kasus di Irian Jaya. Selain itu, ada pula kasus sistem IT yang abal-abal dan keamanannya nyaris nol sehingga sangat mudah diretas.

Sekitar seminggu sebelum beliau meninggal, sebuah kultwit yang dibuat oleh @ZaraZettiraZR sempat menjadi viral di medsos. Kultwit tersebut mengulas tentang peretasaan Sistim IT KPU pada Pilpres 2014 silam. Husni Kamil Manik sempat menanggapi kultwit tersebut, dan mendukung untuk melakukan audit digital forensik mengenai dugaan peretasan tersebut.

Berikut ini kultwit yang dibuat oleh @ZaraZettiraZR,

 

“Kilas Balik Audit Keamanan Sistim IT KPU Yang Diretas (Hacked) Pada Pilpres 2014” by @ZaraZettiraZR

Selamat sore, tweeps. Sambil menunggu waktu berbuka puasa, saya mau kultwit sebentar

Kilas Balik Audit Keamanan Sistem IT KPU pada Pemilihan Presiden 2014…

– Aspek Celah Keamanan Sistem IT KPU-

1: E-mail Anggota KPU:

Enam dari tujuh e-mail address komisioner KPU yang aktif digunakan, adalah alamat e-mail gratisan.

Mengatur kegiatan penting seperti pemilu, bagi KPU adalah pekerjaan main-main 5 tahunan.

Kenapa menggunakan e-mail gratisan yang mudah diretas?

Jawabnya: disengaja.

Ferry Kurnia adalah komisioner KPU yang paling muda di antara tujuh komisioner KPU yang ada.

Seorang hacker berinisial “A” mencoba mengirimkan satu e-mail phishing ke alamat e-mail gratisan milik komisioner KPU Ferry Kurnia.

Tidak sampai 2 jam kemudian, “A” sudah bisa mengakses, membaca semua e-mail yang diterima / dikirimkan via alamat e-mail Ferry Kurnia tsb.

Seharusnya, para komisioner KPU dan para perancang sistem IT KPU adalah orang-orang professional, dan bukan dari kalangan orang sembarangan

Namun mereka seperti membuat segalanya begitu mudah untuk siapapun yang mempunyai niat tidak baik, untuk ikut masuk ke sistem IT KPU.

 

2: Saling mengirimkan Username dan Password melalui E-mail

“A”  membuka inboks e-mail salah satu anggota KPU, dan mencari kata “password”.

“A” langsung mendapatkan password ke SILOG (Sistem Logistik).

“A” juga mendapatkan password ke Dropbox yang dipakai untuk menyimpan salinan data pemilih di seluruh Indonesia.

Kemudian “A” juga mendapatkan password untuk masuk ke sistem real count KPU.

KPU memiliki sistem real count yang entah mengapa, sama sekali tidak ditampilkan di websitenya.

Publik harus menghitung real count sendiri, seperti di website kawalpemilu.org

Hal ini jelas menjadi pertanyaan penting dan menjadi tanda tanya besar.

Password untuk mengelola website KPU, untuk SIDALIH (Sistem Data Pemilih) dan password sistem lainnya didapatkan oleh “A” secara mudah.

Berbagai password penting tadi dikirimkan begitu saja oleh admin melalui e-mail, yang sebagian besar adalah e-mail gratisan.

Nampak disengaja, demi memudahkan para hacker dan cracker untuk masuk ke dalam sistem IT KPU.

3: Google Docs Daftar Username dan Password

“A” lalu menemukan satu e-mail yang dikirimkan oleh admin sistem IT KPU kepada semua anggota KPU

Isinya adalah GOOGLE DOCS,  berisi daftar semua password untuk seluruh sistem IT KPU.

Para admin dan anggota KPU memang sengaja ingin memudahkan para hacker dan cracker untuk ikut masuk ke dalam sistem IT KPU.

Daftar password penting tadi hanya disimpan di GoogleDocs dan cukup dikirimkan melalui e-mail, yang sebagian besar adalah e-mail gratisan.

 

4: Pola Password Mudah Ditebak

Sebagai contoh, password SSH ke website KPU yang pernah digunakan:

4dm1n80njol@w1w1k. Username: kpuadmin.

Password root shell/MySQL: m3rd3k41945!

Banyak password sistem IT KPU menggunakan pola yang sama.

Agar mudah diingat.

Agar mudah diretas.

Melalui pola yang sangat mudah ditebak, tanpa kerumitan sama sekali.

5: Semua Anggota KPU Bisa Melakukan Edit Daftar Pemilih – Sesuka Hati

Melalui Sistem Data Pemilih (SIDALIH), KPU mengatur nama-nama yang masuk ke Daftar Pemilih Sementara (DPS) dan Daftar Pemilih Tetap (DPT).

Penambahan atau pengurangan nama-nama pemilih dapat dilakukan dari sistem ini.

Sangat krusial, karena di Indonesia ini, pemilih ikut mencoblos pemilihan cukup dengan membawa undangan pemilih, tanpa perlu menunjukkan KTP

Jika mau aman: Mengapa semua anggota KPU bisa melakukan edit DPT sesuka hati?

Mengapa akses yang diberikan oleh admin tidak hanya READ ONLY?

Keputusan hak edit ini, tentu saja keputusan yang jelas-jelas disengaja, tidak mungkin faktor kecelakaan.

Memberikan kewenangan sangat besar kepada setiap anggota KPU untuk bermain-main dengan data jumlah pemilih.

Memberi kemudahan untuk memanipulasi data dengan cara mengurangi atau menambahkan Daftar Pemilih Tetap. Sesuka hati.

Jika ada anggota KPU yang berkomunikasi dengan tim sukses calon presiden tertentu, akses ke SIDALIH ini bisa menambahkan “pemilih baru”.

Atau mengurangi pemilih di daerah-daerah tertentu, sesuka hati.

Sesuai permintaan dari tim sukses calon presiden tertentu

Mereka yang seharusnya belum bisa memilih, bisa diberikan “hak untuk memilih”.

Mereka yang diketahui cenderung akan memilih calon tertentu, bisa “dicabut hak memilihnya”.

Dengan sangat mudah.

Ditambah lagi untuk setiap data entri, tidak ada info atau log secara terbuka, siapa saja yang terakhir melakukan edit data.

Tidak ada edit history.

Celah sistem yang sangat membahagiakan untuk siapapun yang punya niat tidak baik.

6: Semua Anggota KPU Bisa Melakukan Edit Jumlah Pengiriman Kertas Suara – Sesuka Hati

Sistem Logistik (SILOG) KPU digunakan untuk mengatur distribusi surat suara ke semua daerah, untuk didistribusikan ke semua TPS.

Penambahan atau pengurangan pengiriman kertas suara dapat dilakukan melalui sistem ini.

Pertanyaan untuk SILOG (Sistem Logistik) ini sama dengan pertanyaan untuk SIDALIH (Sistem Data Pemilih).

Jika mau aman: Kenapa semua anggota KPU bisa meng-edit logistik pemilu seperti kebutuhan jumlah kertas suara?

Mengapa akses yang diberikan oleh admin tidak hanya READ ONLY?

Keputusan ini tentu saja keputusan yang disengaja, dan tidak mungkin karena faktor kecelakaan.

Yaitu memberikan kewenangan sangat besar kepada setiap anggota KPU untuk bermain-main dengan jumlah kebutuhan kertas suara.

Maka jika ada anggota KPU yang berkomunikasi dengan tim sukses calon presiden tertentu, akses SILOG bisa mengirim kertas suara lebih banyak.

Mengirimkan kertas suara dengan jumlah sesuai permintaan tim sukses calon presiden tertentu ke daerah-daerah tertentu.

Dengan sangat mudah.

Dalam sistem SIDALIH, untuk setiap entri juga tidak ada info atau log secara terbuka, siapa saja yang terakhir melakukan edit.

Tidak ada edit history.

Secara fair, memang ada sisi lain yang positif dalam sistem KPU.

Yaitu sistem scan formulir C1.

Aplikasi didesain sederhana, tidak banyak form isian.

Sangat membantu meningkatkan penggunaan sistem.

Pengelolaan C1 ini membuat persepsi seolah-olah pemilu benar-benar berlangsung secara jujur dan adil.

Seolah-olah tidak akan mungkin mempengaruhi hasil pemilu jika scan C1 sudah terkumpul semua di server KPU.

Namun tetap menjadi pertanyaan besar.

Admin membuat aplikasi real count, yang khusus dibuat hanya untuk para anggota KPU di alamat http://103.21.228.33/internal-

Lalu kenapa data real count ini ini tidak dibuka ke publik?

Silahkan bertanya kepada ketua KPU Husni Kamil Manik.

Pemilu 2014 mencakup banyak daerah, yang membawahi sangat banyak TPS, dan melibatkan sangat banyak nama-nama pemilih.

Diikuti kemudahan melakukan permainan data melalui SILOG atau SIDALIH via akses para anggota KPU dan akses untuk para hacker serta cracker.

Siapapun pemilik akses ke SILOG & SIDALIH yang berniat memenangkan calon tertentu sebelum Mei 2014, akan mempengaruhi hasil Pilpres 2014.

Siapapun yang mampu berkoordinasi dengan tim sukses di lapangan, di TPS-TPS dan di desa-desa, bisa melebihkan kebutuhan jumlah kertas suara.

Nama-nama yang perlu ditambahkan atau dikurangi dari sistem SIDALIH secara mudah, akan sangat mempengaruhi hasil Pemilihan Presiden 2014.

Sama sekali tidak sulit untuk mengakses semua sistem IT KPU yang krusial ini.

Karena dibuat dengan authority sangat besar untuk para pemilik akses. Sangat mudah ditembus oleh para hacker dan cracker yang ingin masuk.

Ada apa?

Silahkan bertanya kepada komisioner KPU Ferry Kurnia Rizkiyansyah.

Semua pemilik akses ke sistem IT KPU, legal atau ilegal, akan sangat mempengaruhi siapa yang akan terpilih menjadi presiden RI 2014.

Presiden yang akan segera mempunyai kekuasaan di negara dengan 250 juta penduduk, dan perputaran uang yang mencapai hampir Rp 10.000 Triliun

Dengan sangat mudah, ada jutaan “pemilih baru” hasil kreasi dari mereka yang punya akses ke SIDALIH.

Dengan sangat mudah, ada jutaan kertas suara yang “kebetulan berjumlah lebih” hasil kreasi dari mereka yang punya akses ke SILOG.

Selamat memiliki presiden RI yang baru, di tahun “pemilihan” 2014.

Sekali lagi, kultwit tadi hanya kilas balik kecurangan Pilpres 2014 yang terjadi secara sistemik dan masif melalui celah IT KPU. Terimakasih

Kultwit diatas ditanggapi oleh netizen lain, termasuk Almarhum Ketua KPU Husni Kamil Manik:

 

emone @ashzmadcum:

“@ZaraZettiraZR: Lalu kenapa data real count ini ini tidak dibuka ke publik?

Silahkan bertanya kepada ketua KPU Husni Kamil Manik.”

 

 Husni Kamil Manik @HusniKamilManik :

Ayo diaudit @Yatnoslax: Kilas Balik Audit Keamanan Sistim IT KPU Yang Diretas Pada Pilpres 2014 by @ZaraZettiraZR – chirpstory.com/li/320661

imam @imampananjung :

@HusniKamilManik @ZaraZettiraZR @Yatnoslax @chirpstory ayo kapan dimulai ?

Husni Kamil Manik @HusniKamilManik :

Lebih cepat dilakukan, lebih baik. Datanya terbuka @imampananjung: @HusniKamilManik @ZaraZettiraZR @Yatnoslax @chirpstory ayo kapan dimulai?

 

Husni Kamil Manik @HusniKamilManik :

Silahkan @revolusisosmed: Cc. Bang @IwanPiliang7 mari kita digital forensik… udah ada tantangan nehhh:) mantap! https://twitter.com/imampananjung/status/749076677414690817

(ts/pm)