Dugaan Kebocoran Email Sivitas di Website DPM UI
Dewan Perwakilan Mahasiswa (DPM) UI mengeluarkan Rilis Penyalahgunaan Data Status IKM, pada Selasa (23/06). Rilis pers tersebut dikeluarkan berkaitan dengan adanya sebuah kasus kebocoran data yang diduga didapatkan dari database DPM UI. Adapun kronologi dari terjadinya kasus ini adalah ketika beberapa sivitas UI sekonyong-konyong mendapatkan surel berisi promosi tugas video animasi yang dialamatkan kepada email UI mereka. Hal ini kemudian menimbulkan pertanyaan, dari mana pihak-pihak tersebut memperoleh info alamat email UI yang notabene bukan merupakan email konsumsi publik
Laporan-laporan serupa terus berdatangan. Sejurus kemudian, pihak DPM UI menerima laporan dari seorang mahasiswa Fakultas Ilmu Komputer yang menduga bahwa kebocoran data tersebut berasal dari website DPM UI. Namun, DPM UI dengan tegas menyatakan bahwa tidak pernah ada email UI yang dicantumkan dalam website mereka. Ketika dihubungi oleh Suara Mahasiswa UI, Gita selaku narahubung DPM UI mengatakan bahwa hanya ada data nama, NPM, status IKM, dan asal fakultas yang tertera di website.
“Lalu kami menyadari akan gentingnya situasi ini, karena di saat itu publik tidak tahu nih, kaget dengan adanya blast email ini dan menduga kami sebagai pihak yang membocorkan data. Padahal kami tuh tidak punya arsip data email mahasiswa UI,” ujarnya.
Pihak DPM UI pun dengan segera menghubungi pihak pengirim email yang ternyata merupakan satu kelompok di prodi Aktuaria guna meminta klarifikasi. Demikian, kelompok tersebut ternyata memperoleh data IKM dari website DPM UI yang kemudian dikombinasikan dengan kombinasi email UI yang memang sudah menjadi rahasia umum di kalangan sivitas UI.
Seberapa Aman Data Kita di Situs DPM?
Ini bukan pertama kalinya terjadi kasus kebocoran data yang diduga didapat dari lembaga legislatif kampus. Beberapa waktu lalu, sivitas sebuah fakultas di UI juga sempat digemparkan dengan adanya kasus kebocoran data dalam kontestasi Pemilihan Raya (Pemira). Meskipun kedua kasus ini pada prinsipnya berbeda, urgensi perlindungan data menjadi topik yang semakin perlu dibicarakan.
Salah seorang sivitas UI, Mayang (bukan nama sebenarnya) mengutarakan kekhawatirannya akan rentannya penyalahgunaan data di lingkungan kampus. “Jelas khawatir karena website DPM memuat seluruh nama mahasiswa UI yang S1 beserta NPM-nya juga. Ditambah lagi algoritma alamat email UI yang hanya memadukan nama dari kata pertama dan kata kedua, sehingga dapat dengan mudah diketahui dari data yang tersedia di laman DPM UI,” tuturnya.
Data yang tertera pada website DPM meliputi nama, NPM, asal fakultas, tahun angkatan dan status IKM—nyatanya masih membuka celah penyalahgunaan data oleh pihak tertentu. Sehubungan dengan adanya kasus ini, DPM menyatakan bahwa mereka akan mengevaluasi kembali sistem penyajian data yang mereka miliki. Dalam Rilis Pernyataan yang dikeluarkannya, DPM UI mengambil keputusan untuk menutup secara sementara akses data status IKM UI dan hanya melampirkan kontak narahubung saja bagi mereka yang membutuhkan akses status IKM UI.
Namun demikian, urgensi dari penyajian data secara publik ini kembali dipertanyakan. Menanggapi pertanyaan ini, Gita mengatakan, “Jadi emang dari awal kita SK-nya sudah terbuka untuk publik,” ujarnya. Adapun urgensi dari penyajian data ini ialah agar para mahasiswa dapat mengetahui status IKM mereka. Sejak tahun 2020, data ini dilampirkan pada situs DPM UI supaya publik dapat lebih mudah mengaksesnya. Sementara itu, pada tahun-tahun sebelumnya, data ini direkap dalam bentuk PDF dan hanya dikeluarkan pada waktu-waktu tertentu saja.
Mayang menyatakan bahwa sistem demikian bagaikan pisau dua sisi. Menurut Mayang, yang juga pernah menjadi anggota DPM UI ini, sistem seperti ini di satu sisi mempermudah IKM UI untuk mengetahui status IKM-nya, tetapi di sisi lain membuat data-data yang ada rawan untuk disalahgunakan. “Kekurangannya adalah data di dalam sistem tersebut dapat dibuka oleh siapa saja yang mengakses situs DPM dan juga data tersebut ditampilkan secara gamblang,” tuturnya.
Evaluasi Perlindungan Data Pribadi di Situs Publik DPM UI
Laman milik DPM yang memuat data-data krusial ribuan anggota mahasiswa UI pun ternyata tidak luput dari kendala. KL (bukan inisial sebetulnya), seorang sivitas UI, membagikan pengalamannya kepada Suara Mahasiswa UI atas kendala yang ia alami berkaitan dengan data yang dimuat oleh DPM UI. Ia menyebutkan bahwa terdapat ketidaksesuaian data dirinya; nama dan NPM-nya tertukar dengan mahasiswa lain. Ketidaksesuaian nama dan NPM mengakibatkan status IKM-nya KL menjadi biasa, padahal dirinya sudah mengikuti rangkaian kegiatan persyaratan mengaktifkan IKM.
KL merasa dirinya dirugikan akibat kesalahan ini. Sebuah keperluan mengharuskan ia memiliki status IKM aktif dengan cepat. Malang sekali, di saat yang bersamaan DPM sedang melakukan perbaikan pangkalan data info; kabar yang beredar adalah website DPM sempat error. Saat dihubungi untuk pemrosesan ganti data, KL menjabarkan pengalamannya kurang berkesan “Gue kecewa sama DPM karena lama ngurus (ubah status—red) jadi aktif. Pengalaman ini kurang berkesan karena agak kurang responsif.”
Mengenai data yang terpampang di website, KL juga menambahkan bahwa penulisan NPM secara terbuka membuat dirinya bingung. KL menjelaskan bahwa saat OBM (Orientasi Belajar Mahasiswa), pihak UI memberi peringatan untuk tidak menyebarluaskan NPM secara sembarangan. “Waktu OBM di-warning kalo NPM sesuatu yang harus dijaga, karena (NPM—red) termasuk krusial,” katanya. Kendati begitu, dirinya kadang menemukan pihak-pihak lain yang meminta NPM.
Berhubungan dengan kasus kebocoran data ini, KL berpendapat bahwa ada potensi ancaman mengingat website DPM yang sempat eror beberapa waktu silam. Di samping itu, sebagai pemilik database se-UI, KL menambahkan bahwasannya ada kemungkinan kasus-kasus lain seperti dirinya di luar sana, tapi sedikitnya laporan membuat hal ini hampir tidak ketahuan.
Di Balik Kebocoran Data
Isu kebocoran data email mahasiswa UI memang mengkhawatirkan, akan tetapi, sebenarnya ada apa di balik kasus pengiriman surel ini? Setelah ditelusuri, Bambang selaku salah seorang pengirim surel mengklaim bahwa motivasi mereka hanyalah semata-mata untuk menambah jumlah viewers tugas mereka, sebab hal tersebut merupakan salah satu komponen penilaian; dan tidak ada niatan untuk merugikan pihak manapun.
Pengiriman email dianggap sebagai jalan keluar menutupi kekurangan viewers, karena cara lain yang sudah mereka lakukan dirasa kurang memuaskan hasilnya. Walaupun begitu, penggunaan jalan ini tidaklah disetujui semua anggota. Ada anggota yang sempat mengkhawatirkan penggunaan jalur ini. Meskipun begitu, miskomunikasi di antara anggota kelompok berujung kepada aspirasi anggota tersebut tidak tersampaikan. Selain itu, kurang baiknya iklim diskusi kelompok, kurangnya berpikir panjang secara kelompok, serta terlalu terfokusnya anggota dengan jumlah viewers mengakibatkan hal ini terjadi.
Perihal kasus ini, DPM merilis pers rilis dengan nama pelaku dipublikasikan dengan nama alias, tetapi pada lampiran surat permohonan maaf menggunakan nama asli sesuai consent. Hal ini mengakibatkan misinterpretasi, dimana terdapat anggota yang lupa mengirimkan email sesuai format sehingga mengakibatkan nama alamat email penerima lain terlihat.
Para pelaku mengakui kesalahan mereka, serta menerima beragam konsekuensi akibat perbuatannya tersebut. Adapun konsekuensi yang mereka terima adalah tidak mendapatkan nilai berdasarkan viewers, salah satu email UI anggota ter-suspend, serta sanksi sosial. Ketika berbincang dengan Suara Mahasiswa UI, kelompok pelaku menggunakan kesempatan ini untuk menyatakan permintaan maafnya.
“Terima kasih atas kesempatannya Pers Suara Mahasiswa UI, kami meminta maaf dari lubuk hati terdalam, kami sadar bahwa kami bersalah dan lalai dalam mempertimbangkan cara promosi sehingga cara yang kami pakai malah menimbulkan ketidaknyamanan seperti ini. Besar harapan kami permohonan maaf kami tersampaikan dan dapat diterima terkhusus pada pihak yang secara langsung kami rugikan,” ujarnya.
Kebocoran data ini bukanlah yang pertama dan semoga menjadi yang terakhir, masih banyak celah-celah yang harus ditutup oleh DPM selaku pemegang data status IKM UI yang berkaitan dengan data krusial lainnya. Perlu dilakukan tindakan-tindakan preventif agar hal ini tidak terulang lagi. Selanjutnya, upaya yang bisa sivitas UI lakukan adalah tidak sembarangan menggunakan, atau bahkan memanfaatkan, data pribadi orang lain tanpa adanya consent terlebih dahulu.
Teks: Fitri Hasanah, Syifa Nadia
Foto: Farrel Rafif Adli
Editor: Nada Salsabila
Pers Suara Mahasiswa UI
Independen, Lugas, dan Berkualitas!