Sebuah celah kecil yang memungkinkan sesama mahasiswa (user) didalamnya saling mengambil informasi pribadi yang mereka punya tanpa harus mempunyai data login user lain.
Cara kerja bug ini diketahui memanfaatkan NIM (nomor induk mahasiswa) yang dimanipulasi sedemikian rupa dengan fitur bawaan browser yaitu inspect element.
Bagaimana bisa terjadi hal demikian? simak penjelasan berikut.
Sistem Informasi Akademik (SIA) merupakan wadah bagi mahasiswa untuk mengikuti atau mendapat informasi seputar perkuliahan. SIA memiliki fungsi yang penting bagi mahasiswa untuk mengisi SKS setiap awal semester, melihat hasil ujian akhir semester dan lainnya.
SIA USM menyediakan tombol unduh di beberapa menu seperti KRS, KHS, Transkip Nilai.
Lalu dimana letak celah nya? Yaps tombol DOWNLOAD/ UNDUH itu sendiri.
• Melakukan manipulasi dengan inspect element pada tombol UNDUH pada alur kerja sistem yang ada
• Mengubah parameter hidden ke post untuk memunculkan kolom NIM yang tersembunyi.
Kalian sudah bisa mengganti NIM berapapun dan mengunduhnya. Hanya sekedar untuk iseng melihat hasil study atau SKS teman satu kelas bahkan sampai satu jurusan sekalipun. Informasi tergolong pribadi sekaligus aib sesama mahasiswa. :v
Jika dicermati lebih detail, saat menekan tombol unduh informasi yang diambil tidak langsung dari dalam SIA itu sendiri melainkan dari luar.
Dan lebih hebatnya lagi kalian bisa lakukan tanpa harus login SIA terebih dahulu
Hanya dengan mengingat alamat destinasi tersebut dan mengubah paramater NIM diakhirnya, data akan otomasis terunduh.
Oke sekian dan terimakasih,
AchArt