Ditulis oleh: Lukman Ernandi
Dengan berkembangkannya forum dan komunitas Cyber Security pada Facebook, Telegram dan Discord, saya (penulis) dan teman-teman Komunitas lainnya beberapa kali menemukan adanya individu yang bertingkah tidak wajar dan melanggar etika-etika yang seharusnya dipahami sebelum bertindak. Nah, dari pada bingung apa aja sih Do and Don’t – nya dalam Komunitas dan Forum Cyber Security. Lets go kita bahas.
1. Don’t Publicly Confronting
Sangat banyak saya temui adanya penyampaian pesan secara publik pada Facebook atau LinkedIn (tentu saja dalam konteks Cyber Security). Biasanya, ini dilakukan oleh penemu bug yang merasa tidak direspons setelah effort dalam membuat laporan dan menyampaikannya ke aplikasi owner. Tujuannya mungkin agar cepat mendapatkan perhatian atau agar kasusnya viral sehingga pemilik aplikasi segera menindaklanjuti report dan temuan.
Cara tersebut sangat salah dan tidak dibenarkan dengan alasan apapun karena dapat merusak reputasi dan kredibilitas kedua belah pihak (app-owner dan penemu bug). Dalam Cyber Security, etika disclosure itu sangat penting. Bila tidak direspons, ada banyak alternatif lain yang lebih elegan, seperti meminta bantuan mediator komunitas (private chat), menghubungi CSIRT Pemerintahan atau mengikuti proses responsible disclosure sesuai standar yang berlaku.
2. Don’t Promote/Sell in The Wrong Public Forum Section
Beberapa kali saya temui, adanya individu yang menjual course, e-book, tools, atau materi lain di kanal diskusi yang tidak sesuai, misalnya di grup chat atau forum komunitas yang seharusnya digunakan untuk diskusi dan sharing ilmu. Dalam beberapa kasus, promosi semacam ini bisa disalahgunakan menjadi penipuan, dengan mengatasnamakan forum atau komunitas yang sudah memiliki reputasi sangat baik. Jika ingin menjual produk / course, pastikan tidak melanggar etik dan sudah melalui izin serta arahan dari Admin dan Moderator Forum terlebih dahulu.
Sebagai tambahan, saya sempat menemui adanya individu yang menjual course / materi tetapi materi yang dibawakan tidaklah cukup berkualitas, bahkan terkesan seperti course bodong atau penipuan karena isi materinya sudah banyak di internet dan tersedia secara gratis.
3. Don’t Try to Exploit Any Vulnerabilities
Saat pertama kali belajar Google, Shodan dan Censys Dorking, siapapun dengan mudah menemukan adanya Server dan Web Server yang rentan terhadap CVE tertentu yang dapat digunakan untuk Code Execution hinggan meng-upload webshell atau framework tertentu yang memeliki vulnerability sehingga kalian menjalankan SQLMAP hingga melakukan SQLDump.
Tindakan tersebut melanggar hukum dan merusak reputasimu sendiri diranah komunitas. Cyber security bukan hanya tentang skill teknis, tetapi juga integritas dan tanggung jawab etis. Jika kamu menemukan celah, gunakan jalur yang benar seperti responsible disclosure, atau laporkan ke CSIRT atau program Bug Bounty resmi jika tersedia.
Bahkan jika Threat Actor menggunakan VPN, seorang Threat Hunting Professional memiliki kemampuan untuk melakukan pelacakan terhadap aktivitas terhadap serangan-serangan oleh Threat Actor. Mereka dapat bekerja sama dengan merek layanan internet (ISP), memanfaatkan log dari endpoint security, sensor jaringan, hingga threat intelligence data untuk melacak alur koneksi hingga ke sumber aslinya, yaitu Hardware/Device milik Threat Actor.
Oleh karena itu, gunakan skill-mu untuk hal yang etis dan bertanggung jawab. Dunia cybersecurity punya banyak jalan legal untuk menguji kemampuanmu, mulai dari Bug Bounty, CTF, hingga proyek open-source atau riset yang bisa memberikan dampak positif dan reputasi yang baik.
4. Don’t Share Personal or Sensitive Information in Public Forums
Saya sangat sering menemui seseorang secara sengaja atau bahkan tanpa sadar membagikan informasi pribadi orang lain seperti nama lengkap, nomor telepon, alamat email, hingga data identitas lainnya di grup diskusi atau forum publik. Misalnya, saat seseorang bertanya pada Forum, “Eh, ada yang punya nomor si Bapak X yang kerja di kantor Y?” lalu langsung dijawab dengan menyebutkan data pribadi secara terbuka.
Tindakan seperti ini sangat tidak etis dan berpotensi melanggar hukum, terutama sejak diberlakukannya Undang-Undang Perlindungan Data Pribadi (UU PDP) di Indonesia. PII (Personally Identifiable Information) bukan hanya data teknis—tetapi bagian dari hak privasi seseorang, dan menyebarkannya tanpa izin adalah bentuk pelanggaran yang serius. Membagikan data seperti ini juga bisa membahayakan individu yang bersangkutan, karena dapat dimanfaatkan untuk doxing, social engineering dan tindak penipuan.
Penutup
Dari relasi dan kredibilitas nama baik serta kontribusi secara positif, seseorang bisa dengan mudah menjadi relasi yang berharga bagi orang lain, membangun reputasi positif, dan bahkan mempermudah dalam mencari peluang kerja atau kerjasama profesional di masa depan.
Terima kasih sudah membaca. Keep hacking ethically, stay humble, and grow together!
Thanks revolusiber dapat insight baru sebagai pemula. Cukup kurang memahami di point ke 3 paragraf pertama bagian Akhir, memangnya kenapa kalau kita lakukaan semisal SQLDump yang ujung-ujungnya tetap kita laporkan sesuai prosedur jika kita menemukan kerentanan pada akhirnya?
Terimakasih sebelumnya sudah berkenan menjawab.
SQLDump merupakan teknik data exfiltration, yaitu proses mencuri data dari sebuah sistem secara tidak sah. SQLDump menyalin data pada database, termasuk informasi sensitif seperti data pengguna, password, nomor kartu kredit, dan lainnya. Oleh karena itu, SQLDump hanya boleh digunakan dalam skenario pengujian yang legal dan memiliki izin tertulis dari pemilik sistem. Melakukan data exfiltration seperti SQLDump tanpa izin termasuk dalam kategori tindakan ilegal, yang bisa dikenai sanksi pidana.