Beberapa waktu lalu, Saya menemukan celah keamanan di lingkungan akademik, dengan memanfaatkan teknik pencarian lanjutan, yang dikenal sebagai Google Dorking. Penemuan ini menunjukan adanya kerentanan pada salah satu server kampus. Celah tersebut telah mengekspos kategori data identitas pribadai (PII) tingkat tinggi, termasuk dokumen kependudukan, kartu identitas resmi, dan berkas akademik penting milik sejumlah mahasiswa.

Setelah saya menemukan celah tersebut, saya mengutamakan etika responsible disclosure, saya segera melaporkan kepada tim IT kampus yang bertanggung jawab, sekarang website tersebut dalam masa perbaikan, dan saya meminta izin untuk mempublikasikan yang saya temukan secara lengkap, dan melalui izin pihak kampus, laporan teknik ini di publikasikan, dengan semua data yang bersifat sensitif telah di anonimkan dan disensor.

pertama tama saya memulai pencarian dengan menggunakan query dasar. Saya mencoba mencari folder 'upload' di sebuah server yang mungkin isinya terbuka ke publik.

site:target.com intitle:"index of/upload"

saya mencari di dalam domain target, dan mencari halaman yag judulnya bertuliskan 'index of/upload' , dan ketika saya menekan enter, saya menemukan link yang mengarah langsung pada halaman index dari sebuah folder upload di website kampus tersebut.

None
Hasil pencarian mengarah ke direktori server yang terbuka penuh.

lalu ketika saya masuk ke dalam direktori 'upload', saya menemukan struktur file yang sangat terorganisir, terdapat folder yang disusun berdasarkan urutan angka. Setelah saya cari tahu, folder ini ternyata berisikan dokumen—dokumen milik calon mahasiswa yang mendaftar pada angkatan tahun 2025 di universitas tersebut.

Angka-angka berurutan yang saya sensor adalah folder data individual calon mahasiswa angkatan 2025.

Salah satu berkas yang terekspos itu ada folder 'bukti', pada folder 'bukti' terdapat transfer pembayaran untuk pendaftaran mahasiswa. Lalu ketika saya klik, salah satu direktori (yang saya sensor dalam laporan ini) terdapat lagi file-file yang berisi Akte Kelahiran, Kartu Tanda Penduduk(KTP), Ijazah, Kartu Keluarga dan foto calon mahasiswa berlatar biru.

None
Folder ini berisi seluruh data yang dibutuhkan untuk verifikasi identitas, mulai dari KTP, KK, Ijazah, hingga Akte Kelahiran.

penemuan ini menunjukan bahwa kerahasiaan dan keamanan data calon mahasiswa telah terancam.

None
Salah satu contoh dokumen identitas yang saya temukan terekspos. Gambar ini telah di-blur untuk melindungi privasi pemiliknya.

untuk memastikan validitas data yang saya temukan, kemudian saya melakukan cross-check melalui Pangkalan Data Pendidikan Tinggi (PDDikti) menggunakan data yang bocor ini. Hasilnya, konfirmasi yang saya dapatkan mahasiswa tersebut benar-benar terdaftar dan sedang berkuliah di kampus tersebut pada tahun akademik 2025. bahwa celah keamanan ini mengekspos data live dan sangat terkini, bukan sekadar arsip lama.

None
Bukti Validasi: Cross-check ke PDDikti mengonfirmasi bahwa data ini milik mahasiswa aktif/baru angkatan 2025. Hal ini membuktikan bahwa data yang terekspos adalah data 'live' dan sangat sensitif. (Detail identitas dan kampus disensor).

mungkin sekian pengalaman dari saya. Terimakasih sudah membaca.