Rasa penasaran saya tidak berlalu sampai situ saja, saya pun mencoba memasukkan NIK dengan nama yang dikosongkan keduanya. Permintaan saya ditolak. Saya pun menelusuri data-data yang dikirim ke server ketika sebuah permintaan dilakukan.
Bagi Anda yang tidak mengerti, ini artinya komputer pengguna melakukan validasi sendiri bahwa penggunanya bukan robot, berbeda dengan hal yang lazim dilakukan yaitu server (website Dukcapil) memastikan bahwa pengguna bukan robot. Dampaknya adalah pengguna robot pun dapat mem-bypasssecurity check ini.
Semakin penasaran saya, eksperimen pun saya lanjutkan dengan mensimulasikan sebuah permintaan pencarian data dengan menggunakan software bernama Postman. Dengan software ini, kita dapat meniru cara komputer kita mengirim data yang meminta nomor KK tadi ke Dukcapil.Â
Lebih mengejutkan lagi, dengan nama depan/belakang dan nama ibu kandung yang tidak diisi, pengguna dapat langsung mengetahui nama dan nomor KK pemilik KTP tersebut.
Saya mencoba teknik pembobolan SQL Injection, namun sepertinya hal ini tidak berhasil.
Dengan rasa penasaran lebih mendalam, saya membuat script untuk mencoba-coba data NIK dan KK. Dengan mengetahui 6 digit pertama sebuah NIK adalah kode identitas kecamatan, 6 digit selanjutnya adalah tanggal lahir, dan 4 digit setelahnya adalah nomor unik, maka saya membuat sebuah script untuk mencoba semua kemungkinan tanggal lahir dan nomor unik yang saya coba dari 0001 sampai 0010. Uniknya, dalam eksperimen selama 2 hari, saya berhasil mengumpulkan data Nama, NIK, dan KK dari 53876 nomor NIK.
Saya sudah mengirim email ke dukcapil@kalbarprov.go.id terkait permasalahan ini namun hingga kini belum menerima balasan maupun tanggapan apapun.
Dengan demikian, jika seorang teroris mengetahui hal ini, masihkah fitur registrasi NIK dan KK cocok sebagai fitur keamanan?
