ASN Ketahuan Absen Palsu-Pelaku Ditangkap Polisi, Begini Cara Kerjanya

Novina Putri Bestari, CNBC Indonesia
Senin, 06/07/2026 14:05 WIB
Foto: Ilustrasi Badan Kepegawaian Negara (CNBC Indonesia/Muhammad Sabki)

Jakarta, CNBC Indonesia - Polres Brebes membongkar modus absensi fiktif yang dilakukan sejumlah Aparatur Sipil Negara (ASN). Ternyata ada berbagai cara untuk mengelabui platform absensi online.

Pengamat keamanan siber Alfons Tanujaya mengungkapkan tiga skenario yang mungkin dilakukan. Salah satunya adalah fitur Mock Location di Android, jadi aplikasi curang bisa mendaftar sebagai location provider palsu menggantikan GPS, dan aplikasi lain akan membaca dan menerima koordinat palsu tersebut.


Selain itu, ada modus lain di mana perangkat melakukan root atau menggunakan framework untuk hook langsung ke API Location Manager. Jadi, aplikasi target menerima koordinat palsu, namun tidak bisa mendeteksi sebagai Mock Provider.

Cara terakhir, yang disebutnya kemungkinan dilakukan dalam kasus ASN terbaru, adalah mengirim request langsung ke API backend Presensi. Daftar koordinat telah disiapkan terlebih dulu.

"Ini yang kemungkinan terjadi dan patut menjadi perhatian karena kelemahannya ada di server absensi. Kemungkinan besar app mengirim request langsung ke API backend presensi dengan daftar koordinat yang sudah disiapkan terlebih dahulu," kata Alfons kepada CNBC Indonesia, Senin (6/7/2026).

"Jadi, bisa mengakses backend yang tidak dilindungi dengan baik atau dibiarkan terbuka karena satu dan lain hal. Ini merupakan hal yang serius dan artinya ada reverse engineering terhadap protokol/API. Hal ini patut diduga karena ada pernyataan resmi bahwa "server dimatikan tetapi absen tetap masuk". Jadi poin 3 lebih mungkin terjadi," dia menambahkan.

Solusi Mencegah Modus Absensi Palsu

Alfons juga membagikan beberapa langkah yang bisa dilakukan untuk mencegah hal serupa kembali terjadi. Pertama adalah melakukan validasi saat ada permintaan dari perangkat yang tidak dimodifikasi.

Berikutnya memastikan permintaan tanpa signature yang valid ke API langsung ditolak. Alfons juga meminta melakukan pengecekan crosscheck sinyal lokasi majemuk.

"Crosscheck sinyal lokasi majemuk, jadi selain GPS. cek juga Wifi BSSID kantor dan cell tower ID. GPS spoofing tidak akan bisa memalsukan hal ini," jelasnya.

Alfons juga menyarankan melakukan deteksi adanya anomali dalam server. Misalnya perubahan lokasi dalam waktu singkat.

"Deteksi anomali di server, contohnya lokasi loncat drastis dalam waktu singkat, banyak device berbeda melaporkan koordinat yang identik persis (indikasi hardcoded spoofing)," ucapnya.

Selain itu, Alfons juga menyarankan bisa mempertimbangkan untuk menggunakan sistem berbasis biometrik liveness. Cara ini dianggap bisa memastikan keabsahan absensi dan memastikan server tetap aman.

"Ada tambahan terakhir kalau mau dipertimbangkan. Gunakan upgrade ke sistem presensi berbasis biometrik liveness untuk memastikan keabsahan pengabsen dengan tetap memperhatikan pengamanan pada server side dimana akses langsung ke API server harus dibatasi," pungkasnya.

Sebelumnya, Polres Brebes mengungkapkan kasus dugaan penyalahgunaan sistem presensi elektronik ASN dalam lingkungan Pemerintah Kabupaten Brebes. Sembilan tersangka terlibat dalam kasus tersebut.

Kasus ini terungkap setelah adanya laporan dugaan absensi online ilegal pada 29-30 April 2026 oleh Badan Kepegawaian dan Pengembangan SDM Daerah (BKPSDMD) Kabupaten Brebes. Dari hasil penyelidikan diketahui adanya pengalohan titik koordinat pada sistem tersebut dan membuat ASN bisa melakukan absensi meski tidak berada dalam lokasi yang ditentukan.


(fab/fab) Add as a preferred
source on Google
Saksikan video di bawah ini:

Video: Cara BSSN Perkuat Keamanan Siber-Cegah Gangguan Layanan Publik