Jakarta, ID – Pakar keamanan siber Vaksincom Alfons Tanujaya menduga, pembobolan 4,7 juta data Badan Kepegawaian Negara (BKN) pada Sabtu (10/8/2024) pekan lalu dilakukan melalui metode structured query language (SQL) atau cross site scripting atau sering disingkat XSS.
Temuan data BKN yang bocor itu bermula dari postingan peretas (hacker) yang mengaku punya nama anonim TopiAx di pasar gelap online Breachforums pada Sabtu pecan lalu. Peretas pun mengaku sudah menawarkan data tersebut US$ 10 ribu atau sekitar Rp 160 jutaan.
“Kemungkinan besar yang diserang adalah celah keamanan database sejenis SQL atau cross site scrypting pada 117 field (BKN),” ujar Alfons, dalam pernyataannya, Selasa (13/8/2024).
Serangan dengan metode SQL biasanya dilakukan dengan mengubah kueri SQL, yakni menyuntikkan kode berbahaya untuk mengeksploitasi kerentanan, sehingga aplikasi/system situs akan terbuka dan mudah diakses.
Sementara itu, serangan XXL merupakan salah satu serangan dengan injeksi kode. Serangan XXS pun biasanya dilakukan dengan memasukkan kose HTML atau client script code ke situs untuk membobol data.