Surat elektronik dari Google mendarat di inbox email M. Nosa Sandi Prasetyo akhir September 2018 lalu. Di dalamnya, raksasa internet asal Silicon Valley itu berterima kasih pada pemuda asal Pasuruan itu karena telah meretas Google. Tak hanya berterima kasih, Google pun menginformasikan bahwa mereka akan menghadiahi Nosa uang yang sangat besar untuk ukuran anak kuliahan US$7.500 alias Rp114 juta.
Nosa kaget bukan kepalang mendapat email itu. Sebagai peretas yang akrab dengan komputer sejak SD, ia menganggap respon Google itu sebagai sebuah pencapaian. Ia memang bermimpi bisa meretas Google dan ia sudah lama menghabiskan waktu dan tenaga untuk bisa melakukannya. “Ini seperti mimpi yang jadi kenyataan,” ujar Nosa kepada VICE Indonesia.
Nosa yang menggunakan nama alias apapedulimu di dunia retas-meretas mahir komputer sejak remaja. Di bangku SMP ia sudah mengenal dunia software dan menginjak SMA ia bisa bikin virus sederhana. Satu hal yang selalu digelutinya saat ini adalah mencari keamanan sebuah program (bug bounty). Target tertinggi yang ia sasar adalah Google.
Pada Maret 2018 lalu Nosa sempat menemukan bug pada sistem yang dijalankan google. Tetapi, ketika dilaporkan, temuan itu tidak terlalu direspon. Alasannya, bug yang ditemukan Nosa tidak termasuk critical bug. Lima bulan kemudian, Nosa kembali melakukan percobaan. Melalui akun google miliknya, Nosa mulai berselancar untuk menemukan critical bug pada sistem google. Berhasil masuk ke sub domain bussiness google, Nosa akhirnya menemukan yang ia cari: Celah keamanan berkategori tinggi, ia menangkap click hijacking yang terjadi dalam sistem Google.
Temuannya inilah yang berbuah ucapan terima kasih dan hadiah dari Google. “As part of google vulnerability reward program, the panel decided to issue a reward of $7500,” begitu penggalan kalimat pada surat elektronik yang dikirim google kepada mahasiswa Sekolah Tinggi Ilmu Manajemen, Informatika dan Manajemen (STIMIKI) Yadika, Bangil, Pasuruan itu.
Videos by VICE
Nosa bukan satu-satunya peretas di Pasuruan. Seperti Surabaya dan Yogyakarta, kota seluas 36 kilometer persegi ini punya komunitas peretas yang namanya Pasuruan BlackHat. Dibanding YCL (Yogjakarta Cadle Link), Surabaya Cadle Link atau Surabaya Black Hat, Pasuruan Black Hat boleh jadi belum cukup populer. Tetapi, soal sepak terjangnya dalam urusan retas meretas, mereka tak bisa dianggap enteng. Minggu (7/10) kemarin VICE nongkrong bareng mereka.
Portofolio anggota Pasuruan BlackHat lumayan tebal. Sejumlah situs milik lembaga besar macam Pertamina, Mataharimall, hingga Pemerintahan Australia sempat menjadi sasaran kejahilan anggota komunitas ini. Tentu saja apa yang mereka kerjakan bukan sekadar iseng-iseng belaka. Ada motif cari uang halal di belakangnya dengan menemukan celah-celah keamanan situs-situs besar.
“Kadang, kita juga sengaja menghack untuk menemukan celah sistem keamanan sebuah aplikasi atau program. Biasanya, kalau pemilik program itu kita kasih tahu, imbalannya kita dapat duit itu,” kata Wahyudi, salah satu pentolan Pasuruan BlackHat.
Hari itu, Pasuruan BlackHat memang menggelar acara kumpul-kumpul untuk membagikan stiker dan kaos bagi para anggota. Selain Wahyudi, ada beberapa anggota komunitas yang bergabung pagi itu. Seperti Hendrik yang dikenal dengan nickname h3llos, Fendi alias PhiA, dan juga Nosa alias apapedulimu.
Menggunakan nickname alien saat berselancar, Wahyudi mengatakan, sebuah situs startup yang berbasis di Bandung pernah menjadi sasaran kejahilannya. Ketika itu, situs usaha rintisan tersebut ia retas dengan mengubah tampilan alias deface web. Sempat dikembalikan, Wahyudi kembali meretasnya.
Setelah beberapa kali, Wahyudi ia lantas menyampaikan celah sistem keamanan kepada pengelola web tersebut. Sebagai kompensasinya, Wahyudi malah ditawari bekerja di startup tersebut sebagai penanggung jawab IT. Selain itu, kini Wahyudi juga dikontrak sebagai tim IT salah satu perusahaan asal luar negeri.
Hendrik, hacker asal Kraton, Pasuruan ini memiliki pengalaman lebih seru ketika meretas. Ketika itu, ia tercatat sebagai mahasiswa akhir sebuah kampus di Bangil. Entah dari mana ide itu datang, begitu mengetahui nilai akhir semesternya diunggah di web kampus, muncul keisengennya untuk mengubahnya.
Berhasil. Hendrik, sang senior berhasil mengubah nilainya. Indeks prestasi kumulatifnya yang harusnya dua koma sekian, ia ganti menjadi tiga koma sekian. Rahasia itu belum terbongkar oleh pihak kampus hingga sekarang. “Kalaupun ada yang tahu, hanya di antara teman-teman,” ujarnya sambil tertawa.
Hendrik tak sendiri. Ada juga Fendi, juniornya di kampus yang saat beraksi biasa menggunakan nickname PhiA. Bersama-sama, keduanya acapkali mengerjai tampilan web kampus. Selain mengubah nilai Ujian Akhir Semester (UAS), hal yang paling diingatnya adalah mungubah tampilan (deface) web kampus lantaran tidak diberangkatkan ke ajang lomba hacking nasional di Jember.
“Kalau yang ini, jujur kami jengkel dengan kampus waktu itu,” terang Hendrik. Selama seminggu lamanya situs milik kampus berubah wajah. Bahkan tidak bisa diakses. Sampai akhirnya, pihaknya kampus mengetahui pelaku peretasan itu adalah Phia yang tak lain Fendi. Oleh pihak kampus, ia pun dipanggil rektorat.
Ia sempat diancam akan di- drop out. Tapi, mereka kemudian melunak setelah Fendi mengembalikan tampilan web dan meminta maaf. “Setelah kami minta maaf dan janji untuk tidak mengulangi, akhirnya tidak jadi,” terang Fendi.
Situs milik Pertamina juga sempat menjadi sasaran kejahilan lelaki ini. Itu terjadi saat periode pertama kepemimpinan Presiden Susilo Bambang Yudhoyono (SBY), 2005 silam.
Waktu itu, SBY berencana menaikkan harga BBM sekitar Rp600 per liter. Berbekal sebuah laptop, Hendrik beraksi seorang diri meretas website milik Pertamina. Klik enter, laman perusahaan migas milik pemerintah itu pun berubah seketika. Di halaman muka, ia sisipkan foto seorang tua renta yang tampak kesusahan dan menyandingkannya dengan tulisan “Begini jadinya kalau BBM dinaikkan. Rakyat akan makin susah.”
Teknik deface, kata Hendrik, paling banyak dilakukan peretas. Selain paling tidak ribet, juga tidak banyak menimbulkan kerusakan pada perangkat lunak program yang diretas.
Sadar websitenya diretas, pihak Pertamina kemudian melaporkannya kepada tim cyber Kementerian Komunikasi dan Informasi (Kominfo). Mereka berhasil mengembalikan tampilan website seperti semula, seterusnya menguber pelaku peretasan. Hendrik dkk jadi buronan Kemkominfo.
Kementerian mengirimi Hendrik secarik surel yang menyatakan bahwa dia sudah masuk dalam Daftar Pencarian Orang (DPO) alias resmi jadi buronan polisi.
Ia tak menyangka, keisengannya berbuah laporan polisi oleh pihak Pertamina. Bahkan, hingga dua hari lamanya ia tidak berani menyentuh laptop. Apalagi membukanya. Sampai kemudian, ia disarankan temannya untuk mengirim tulisan ke Pertamina dan melaporkan titik celah (bug) yang ia temukan pada laman web Pertamina.
Hendrik dikenal dengan nickname H3llos pun menerima usulan itu. Dengan catatan, pihak Pertamina bersedia membuka laporan ke polisi atas dirinya. “Oleh Pertamina, usulan itu bisa diterima. Saya tunjukkan celah kemanannya, dan laporannya akhirnya dicabut,” kata lelaki yang kini bekerja sebagai team leader IT Pemkot Pasuruan itu.
Pertamina bukanlah satu-satunya lembaga kelas nasional yang berhasil dibobol oleh Hendrik. Akun bank swasta nasional juga berhaisl diretas oleh Hendrik. Di sana, ia menemukan data nasabah seluruh Indonesia. “Sampai sekarang juga saya masih bisa mengaksesnya,” ujar Hendrik.
Sejauh ini anggota Pasuruan BlackHat belum pernah ada yang terjerat hukum gara-gara meretas. Sebaliknya, aksi-aksi mereka malah berbuah hal-hal baik seperti dapat pekerjaan, proyek, dan honor. Di masa mendatang komunitas ini akan tetap jadi ajang kumpul-kumpul saja tanpa ada program untuk bikin sesuatu bersama. Di balik laptop setiap anggotanya, mereka akan terus meretas dan meretas dari kota kecil di selatan Surabaya.