Pada Sabtu (31/12/2022) pagi, Institut menerima tiga pesan email mengatasnamakan Rektor UIN Jakarta Amany Lubis, Wakil Rektor Bidang Administrasi Ahmad Rodoni, dan Ketua Umum LPM Institut Hany Fatihah Ahmad. Ketiga pesan tersebut berdomain uinjkt.ac.id dan mhs.uinjkt.ac.id yang dikirim oleh seorang bug hunter–orang yang menemukan bug dan melaporkannya—bernama Anton—bukan nama sebenarnya.
Pada 2018 lalu, Anton sudah menyadari adanya kelemahan pada webmail UIN Jakarta. Berdasarkan penelusurannya, email yang menggunakan domain uinjkt.ac.id dan mhs.uinjkt.ac.id bisa digunakan untuk fake mailer–manipulasi pesan email. Hal tersebut terjadi sebab tak dikonfigurasinya Sender Policy Framework (SPF)—metode autentikasi email yang dirancang untuk mendeteksi pemalsuan oleh pihak kampus.
Anton menuturkan, pesan dapat dimanipulasi sesuai dengan nama asli di akun gmail. Meski begitu, pesan yang dikirim tidak akan mempengaruhi akun yang bersangkutan. “Jika dilihat di inbox, pesan yang dikirim lewat fake mailer memang tidak ada foto profilnya. Namun ada beberapa orang yang langsung percaya,” jelasnya, Sabtu (31/12/2022).
Anton mencemaskan dampak yang nantinya akan ditimbulkan, seperti adanya peretas yang dapat menyamar menjadi dosen atau mahasiswa UIN Jakarta untuk keperluan kejahatan. Ia juga mempertanyakan mengapa pihak Pustipanda tak mengatur konfigurasi SPF untuk mencegah terjadinya email spoofing—pembuatan pesan email dengan alamat email palsu.
Mahasiswa Komunikasi dan Penyiaran Islam, Fauzan Ananda Putra mengaku khawatir dengan keamanan email UIN Jakarta yang belum terjaga dengan baik. Dirinya bahkan mencemaskan data pribadinya yang ada di email UIN Jakarta.
Fauzan melanjutkan, pihak kampus mesti memperketat keamanan emailnya agar data mahasiswa dapat terjaga dengan baik. Ia juga berharap kasus penyerangan pada domain UIN Jakarta tidak terulang kembali. “Keamanan email UIN Jakarta yang lemah membuat saya ragu untuk menggunakannya kembali,” jelasnya saat diwawancarai via Whatsapp, Senin (2/1).
Pakar Sistem Informasi UIN Jakarta Aries Susanto Hasan Topik menilai, meski email UIN Jakarta sudah legal, namun tak menutup kemungkinan rentan terkena email spoofing. “Pesan palsu bisa diterima oleh email servernya, baik pada Gmail, Google, Yahoo Mail,” katanya, Selasa (3/1).
Aries lanjut menuturkan, untuk meminimalisir adanya email spoofing, ada sebuah metode bernama spam assassin. Metode tersebut, lanjutnya, berguna untuk menyaring email spoofing. Untuk cara kerjanya, kata dia, nantinya sistem akan mengarahkan semua email yang mencurigakan untuk masuk ke label spam pada email.
Aries menyarankan, untuk memperkuat server keamanan email UIN Jakarta, Pustipanda dapat menggunakan teknologi mesin learning yang berbasis artificial intelligence—kecerdasan buatan. Teknologi tersebut, tuturnya, dapat menyaring pesan yang layak dan tak layak untuk masuk ke email.
Abdullah, koordinator Information Technology Service Management (ITSM) Pusat Teknologi Informasi dan Pangkalan Data (Pustipanda) menuturkan, saat ini email UIN Jakarta menggunakan layanan Google G-Suite for Education. Kekurangan dari G-suite for education, kata dia, ialah belum adanya perlindungan khusus SPF. Google sendiri, lanjutnya, baru merilis fitur tersebut pada Gmail khususnya Admin G-Suite sekitar November 2022 lalu.
Abdullah lanjut mengatakan, pihaknya berencana membuat SPF Record yang berfungsi mendeteksi adanya pemalsuan pada domain yang juga disebut Domain Name System (DNS). “Pustipanda akan mengkaji, memanfaatkan, dan testing fitur SPF, agar domain email @uinjkt.ac.id aman,” pungkasnya, Senin (2/1).
Reporter: PA, WMA
Editor: Haya Nadhira
0
0
