Adalah Yonathan Natanael Tampi, lulusan terbaik SMK Negeri 1 Tareran, yang sukses mengidentifikasi berbagai kelemahan teknis pada aplikasi web milik lembaga antariksa Amerika Serikat tersebut. Seluruh temuan diklasifikasikan dalam tingkat Priority 5 (P5), namun tetap eksploitable dan memiliki relevansi teknis signifikan dalam konteks keamanan siber modern.
Yonathan menjelaskan, salah satu kategori temuan utama adalah Information Disclosure, yakni kondisi di mana informasi teknis internal dapat diakses publik tanpa otorisasi yang semestinya. Informasi tersebut mencakup detail konfigurasi sistem, endpoint API tanpa autentikasi, metadata aplikasi, hingga versi perangkat lunak yang digunakan.
“Dalam beberapa kasus, respons API berbasis JSON menampilkan field internal seperti identifier objek atau pengguna, sehingga memungkinkan proses enumerasi data dan pemetaan struktur aplikasi,” ungkap Yonathan, yang akrab disapa Nathan, kepada wartawan Fakta62.info, Jumat (30/1/2026).
Selain itu, ditemukan pula error message yang mengungkap detail lingkungan server, path sistem, serta framework yang digunakan. Informasi-informasi ini berpotensi dimanfaatkan pelaku untuk melakukan reconnaissance, pemetaan attack surface, dan menjadi titik awal attack chain yang lebih kompleks.
Tak hanya itu, Nathan juga mengungkap adanya temuan serius pada kategori Sensitive Data Exposure. Beberapa data sensitif dan bersifat rahasia teridentifikasi dapat diakses secara tidak sah, di antaranya:
-
PII non-publik, seperti alamat email internal karyawan
-
Kombinasi identitas sensitif, meliputi nama lengkap, email internal, serta peran atau jabatan
-
Dokumen internal dan restricted, seperti PDF atau spreadsheet bertanda internal use only, dokumen teknis, serta dokumen operasional
-
Data lintas pengguna (IDOR / cross-user access), di mana API memungkinkan akses ke data milik pengguna lain tanpa otorisasi
-
Sensitive configuration dan artefak sistem, termasuk file environment (.env), konfigurasi aplikasi, kredensial dan secret (API key, OAuth token), dump database, file backup, konfigurasi server dan deployment, material kriptografi, hingga arsip yang berisi data internal
Sebagian dari temuan Sensitive Data Exposure tersebut teridentifikasi melalui teknik Google Dorking, yang bahkan memungkinkan akses ke personal files dan Google Spreadsheet dengan hak edit dan delete penuh. Kondisi ini menunjukkan lemahnya kontrol akses, segmentasi data, serta pengelolaan informasi sensitif.
Lebih lanjut, Nathan juga menemukan kerentanan Cross-Site Scripting (XSS) yang dapat dieksploitasi melalui mekanisme input tertentu. Kerentanan ini memungkinkan eksekusi JavaScript dalam konteks pengguna dan berdampak langsung pada kompromi sesi, seperti pencurian cookie sesi, hingga potensi session hijacking dan eksploitasi lanjutan di sisi klien.
“Meski diklasifikasikan sebagai P5, kerentanan ini memiliki implikasi teknis nyata. Jika digabungkan dalam skenario serangan berantai, risikonya bisa meningkat signifikan,” jelas Nathan.
Secara keseluruhan, temuan-temuan tersebut menunjukkan adanya kelemahan pada kontrol akses, validasi input, pengelolaan konfigurasi, serta mekanisme perlindungan data.
Prestasi ini menjadi bukti bahwa Sumber Daya Manusia (SDM) lokal Minahasa Selatan memiliki kapasitas dan daya saing global di bidang keamanan siber. Oleh karena itu, SDM seperti Yonathan Natanael Tampi dinilai layak mendapatkan perhatian dan fasilitasi dari pemerintah daerah, karena berpotensi menjadi aset strategis daerah, khususnya bagi Kabupaten Minahasa Selatan dan Provinsi Sulawesi Utara di era transformasi digital.
(Britmi)
