NIPFinder - Tools yang bisa menebak NI PPPK sebelum diumumkan? Inovatif atau Ancaman?

Beberapa waktu lalu saya menemukan sebuah thread yang cukup menarik di Facebook, yaitu NIP Finder. Tools ini dibuat oleh seorang programmer dengan nick Muif Aha. Idenya, dia ingin mengotomasi pencarian NI PPPK melalui mekanisme forgot pasword pada laman ASN Digital BKN.

Bagi beberapa orang tools ini menarik karena mampu membantu untuk menemukan NIP sebelum diumumkan oleh instansi resminya. Namun, ternyata kolom komentar menuai pro dan kontrak. Ada yang merasa terbantu hingga mendapatkan SK. Tapi, ada beberapa yang mengingatkan hati-hati pencurian data pribadi.

Benarkah tools ini aman digunakan? Atau memang link untuk social engineering? Atau jika sudah menggunakan tools aplikasi ini, data kita aman?

NB: Saat tulisan ini dimuat, aplikasi https://nipfinder.vercel.app/ sudah tidak dapat digunakan. Sudah ditutup oleh pembuatanya. Rekam jejak *source code-*nya pun juga sudah hilang. Namun, ada 1 akun github yang sebelumnya telah fork dari git aslinya. Seluruh data yang digunakan dalam analisis ini bersifat open source. Tidak ada hak siapapun yang dilanggar karena sumber informasi yang didapatkan bersumber dari internet yang di mana bisa diakses oleh siapapun.

Mengapa Aplikasi ini Populer?

Kebetulan, saya juga menjalani “jenjang karir” pegawai di instansi pemerintahan sejak selesai sidang skripsi. Saya pernah menjadi tenaga kerja dengan 3 Skema: Tenaga Ahli (Kontrak — PPNPN), Pegawai Pemerintah dengan Perjanjian Kerja (PPPK), dan saat ini menjadi CPNS. Sedikit banyak, saya bisa merasakan kegelisahan orang-orang terkait NIP sehingga aplikasi ini cukup banyak yang mencoba dan memanfaatkan.

Teknik dan cara ini bukan hal baru

Jauh sebelum ada inisiatif membuat aplikasi semacam ini, hal yang dilakukan untuk mengetahui NIP lebih cepat adalah memanfaatkan fitur forgot password yang ada pada layanan ASN Digital BKN (— dulu myasn). Layanan ini sebenarnya tidak hanya untuk PPPK, melainkan juga PNS. Bagi beberapa teman seangkatan PPPK maupun PNS, di grup, sering mencoba hal ini.

Coba cek pembahasan akun Youtube Berikut :

https://www.youtube.com/watch?v=r2FebhQLcKY

Kenapa sih Ngebet Harus Tau NIP?

Sebenarnya sangat sederhana, Tujuan utamanya adalah agar bisa bersiap dan mencari tahu tanggal TMT berdasarkan SK-nya. Nah, SK tersebut dapat didownload pada profil MyASN yang akses loginnya menggunakan NIP, dimana umumnya diberikan setelah orientasi instansi penerima.

Waktu pada TMT sangat menentukan seorang CASN untuk bersikap, khususnya seputar 1) kapan pemanggilan oleh instansi, 2) kapan harus berangkat, 3) bagi beberapa yang sudah bekerja sebelumnya sangat membantu untuk menginformasikan waktu yang tepat untuk resign. Banyak hal.

Terkesan sepele, tapi ini sangat berdampak.

Bahkan ditahun ini, penundaan pemanggilan CASN mampu melahir gelombang aksi, yang akhirnya disepakati dengan pembatalan penundaan pemanggilan yang terlalu jauh dari jadwal awal. Belum kasus beberapa yang orang yang gupuh atau overthinking terkait kejelasan diterima menjadi CASN. Sekali lagi, wajar dan sangat wajib untuk dimaklumi. Selepas pengumuman resmi BKN atau instansi resmi-pun (pasca sanggah), terkadang selang waktu instansi menghubungi CASN pun cukup lama.

Mengapa Ide Ini Muncul? Seberapa Akurat?

Pastinya karena demand, meskipun harus kita konfirmasi lagi kuantitas dan statistiknya secara pasti. Nah, wajib kita ketahui bahwa NIP Pegawai, baik PNS maupun PPPK memiliki aturan, bukan angka acak. Artinya, tidak mustahil bisa memang bisa menebak NIP dengan memahami aturannya.



Sumber gambar : https://www.facebook.com/hasna.ningsih.459930/posts/perbedaan-nip-pns-dan-nip-pppk-️fyp-infopns-infopppk-masukberanda-jangkauanluas/2545379695810775/

Aturan : Peraturan Kepala Badan Kepegawaian Negara (BKN) Nomor 43 Tahun 2007 dan aturan seleksi PPPK setiap tahun yang dikeluarkan oleh Kemenpan RB

Aplikasi Otomatis Cek?

Mencari Tahu “Fitur” Rest API ASN Digital

Untuk menguji tools tersebut, kita pelajari tools yang dikembangkan Muif Aha. Berikut repository backup yang di Fork oleh Womugabriel52, https://github.com/womugabriel52-art/nipfinder.

Sebenarnya, kalau dari history commit-nya, aplikasi ini cukup sederhana. Secara teknis, aplikasi ini memanfaatkan fitur forget password dari rest api platform ASN Digital. Umumnya, fitur ini membutuhkan parameter username, token, dan capcha. Value parameter tersebut diambil dari request form yang dikirimkan sebelumnya.

Menariknya, saya menemukan aplikasi NIP Finder tersebut menggunakan inputan token dan capcha yang statis (Terlihat dari source code untuk value token dan capcha ditulis hardcode pada kode programnya). Jadi, berbeda dengan menggunakan website resmi, pada aplikasi NIP Finder ini, pengguna hanya perlu menginputkan prediksi Nomor NIP tanpa harus melakukan verifikasi capcha terlebih dahulu. Karena secara backend, token dan capcha sudah dibypass (dari si-pengembang), pengguna hanya perlu mengotomasi dengan melakukan looping untuk menebak NIP.

Berikut tangkapan layar kode program tools NIP Finder


Sederhana bukan?

Sebenarnya, tools ini mengotomasi apa yang biasa dilakukan orang-orang secara manual (cek Youtube diatas). Bedanya, pengguna tidak perlu lagi mengakses menggunakan website ASN Digital BKN yang meminta token dan capcha, melainkan langsung memanfaatkan rest api-nya secara langsung. Secara etis, tentu ini tidak dibenarkan. Namun, secara efektivitas, tools ini memang membuat kinerja lebih cepat.

Kuncinya: pengguna bisa langsung tahu apakah NIP kita benar sesuai dengan email atau tidak, tanpa perlu menginputkan email dan token berulang kali melalui browser. Sangat memangkas banyak waktu, hehe. Ya meskipun agak berlebihan dengan memberikan opsi looping sampai 999x. Karena secara aturan, rasanya peluangnya cukup sulit ada ratusan orang dengan tanggal lahir yang sama diterima ASN dalam waktu periode yang sama. Hehehe.

Agar tidak menjadi bias, ada beberapa poin penting dalam tools ini :

  1. Tools ini memanfaatkan “celah” fitur forgot password dari rest api ASN Digital. Jadi, tools ini valid dan sesuai dengan data ASN Digital. Namun, didapatkan secara tidak etis.
  2. Tools ini hanya dapat berfungsi untuk melakukan pengecekan akun tersedia atau tidak. Meskipun ada “celah” tersebut, sistem reset password ASN Digital BKN tidak se-sederhana itu. Pengguna perlu memasukkan kode OTP yang dikirimkan ke email.
  3. Jadi, alur sederhananya Cek NIP & Email melalui tools, jika valid login lagi langsung melalui website ASN Digital BKN.
  4. Sejauh ini tidak ada penyimpanan data dalam kode program. Potensi data pribadi yang diambil adalah tanggal lahir dan email. Sayangnya, bukan hal yang mudah menjaga data NIP bagi seorang ASN, apalagi dosen yang nomor itu sangat dibutuhkan oleh mahasiswa dan biasanya ditampilkan pada website resmi universitas.
  5. Fitur Forgot Password melalui Rest API ASN Digital memang terbuka dan hanya bisa digunakan untuk melakukan pengecekan akun, tidak untuk reset password secara langsung. Bagi yang memiliki basic koding, pasti akan bisa mencoba dan membuktikan hal ini, per 10 Oktober 2025.

Mengapa hal ini bisa terjadi?

Sekarang waktunya lesson learned. Jika hal ini terjadi, kemungkinan besar jika pada layanan forget password dari rest api platform ASN Digital, tidak ada batas token kedaluarsa atau waktu token kedaluarsa cukup lama sehingga bisa digunakan berulang dengan NIP berbeda. Istilahnya Insufficient Session Expiration.

Celah inilah yang digunakan oleh pengembang Tools NIP Finder sebagai layanan utama yang digunakannya. Tentu secara ilegal (tanpa izin resmi), tapi disatu sisi juga bermanfaat. Standing poin saya, hal ini perlu disampaikan ke pengembang Platform ASN Digital untuk diapresiasi dan edukasi. Meskipun dalam hal ini tools ini benar-benar berjalan secara normal dan belum ditemukan indikasi kejahatan. Namun, tidak menutup kemungkinan orang lain bisa berkembang menjadi teknik social engineering yang menargetkan pencurian data pribadi kepada ASN. Olehkarena itu, akan lebih baik jika ditutup dari sisi pengembang.

Kesimpulan

Aplikasi NIP Finder ini memang bisa membantu meringkas waktu untuk Menebak NIP sebelum terima SK. Hal tersebut bisa terjadi dengan memanfaatkan “fitur” forget password rest api yang bisa digunakan berulang tanpa token dan capcha yang baru.

Dalam repo juga tidak ditemukan proses penyimpanan data setelah pengecekan berhasil. Sehingga, saya menduga bahwa aplikasi ini memang ditujukan untuk mempermudah seseorang untuk menemukan NI PPPK-nya. Pada versi terakhir aplikasinya juga meng-klaim telah membantu orang-orang berhasil mendapatkan SK (tentunya dilakukan secara mandiri, langsung dari website ASN Digital BKN, setelah tahu nomor NIP-nya. Tidak dari tools ini.)

Namun, secara etika, hal ini tidak boleh dilakukan. Bagaimanpun, brute force bukan sesuatu hal yang umum dilakukan dan harus dicegah. Bayangkan saja jika ratusan ribu pendaftar yang diterima menggunakan teknik yang sama, pasti membebani server yang potensi memakan resource bagi yang membutuhkan. Kedua, tools semacam ini sangat berpotensi menjadi gerbang baru social engineering yang menargetkan ASN. Tools ini memang tidak menyimpan data pengguna yang menggunakan, namun jika celah ini masih ada tidak menutup kemungkinan akan muncul kreator baru dengan skenario yang lebih kreatif. Misal halaman login unofficial yang bisa menentukan akun valid atau tidak, dan jika valid akan mengirimkan data akun valid ke database threat actor.

Sebagai penutup, saya juga ingin menyampaikan bahwa mekanisme perubahan password di ASN Digital cukup ketat. Untuk membuka gambaran sistem bekerja, secara sederhana, setidaknya ada 3 tahapan yang harus dilakukan:

  1. Pertama, fitur forgot password untuk checking apakah ada nip dengan email tersebut. Bagi masyarakat umum, melakukan prosedur ini menggunakan web resmi BKN. Nah, bagi orang yang memiliki kemampuan dasar pemrograman, akan terlintas untuk memanfaatkan end-point rest api (backend). Dalam aplikasi NIP Finder, token dan capchanya berasal dari si pembuat yang memang tidak kedaluarsa, hehehe. Sekali lagi, ini ilegal broh! Tapi ya well played, wkwk.
  2. Kedua, barulah setelah akun di konfirmasi, akan ada tombol kirim OTP dengan memasukkan email yang sesuai. OTP ini hanya berlaku 1x dan hanya dikirimkan kepada email yang valid. Untuk mendapatkan OTP baru, harus menunggu kembali. Tidak bisa kita menggunakan token yang sama untuk email yang berbeda. Aplikasi NIP Finder ini tidak memungkinan untuk itu, karena memang protokol ASN Digital sudah cukup aman mengatasi skenario ini.
  3. Setelah pengguna tau NIP-nya valid, proses reset password tetap dilakukan pada laman resmi ASN Digital. Tidak bisa menggunakan aplikasi NIP Finder tersebut.

Rekomendasi

Bagaimanapun saya harus menyampaikan bahwa, “Tidak ada sistem yang 100% aman”.

Olehkarena itu, kita tetap harus lebih aware dengan keamanan data. Disamping, kita tetap harus berinovasi dan beradaptasi sesuai dengan perkembangan zaman. Bagi saya, aplikasi ini kreasi yang menarik selain memudahkan calon PPPK menemukan NIP, juga menjadi masukan yang bagus untuk BKN agar meningkatkan performa keamanan dengan menutup celah.

Saran saya, bagi Calon PNS ataupun Calon PPPK, alangkah lebih utama menunggu arahan dari instansi penerima. Sebenarnya waktunya tidak cukup lama, dalam aturan BKN dan KemenpanRB, maksimal pemanggilan adalah 1 Bulan setelah penetapan NIP, instansi penerima wajib melakukan pemanggilan kerja kepada ybs. Sembari menunggu, kita bisa mempelajari instansi tempat kita akan berkerja selanjutnya. Serta membangun hubungan yang baik dengan instansi sebelumnya, atau mempersiapkan diri bagi yang baru bekerja. Dan bagi PPPK Jalur formasi khusus, menunggu akan jauh lebih bijaksana, atau bisa langsung konfirmasi ke bidang kepegawaian instansi bekerja.



Merawat Ilmu dan Budaya

Salam,

Fitrah Izul Falaq

Seorang pendidik dengan fokus riset pengembang teknologi pembelajaran vokasional

Komentar

Posting Komentar

Postingan populer dari blog ini

Mengenal Martabat Pangeran Diponegoro lewat Pameran 200 Tahun Perang Jawa - Perpusnas RI 2025

Gambar
Satu hal paling menyebalkan dari mengunjungi Pameran “Martabat 200 Tahun Perang Jawa” adalah hanyut dalam emosi atas pengkhianatan yang dilakukan Belanda pada hari yang suci: Penangkapan Pangeran Diponegoro. Garis waktu yang disajikan dalam pameran membawa kita turut merasakan perjuangan Pangeran Diponegoro melawan Kompeni selama 5 tahun, dari 1825 hingga 1930. Tidak sedikit korban berjatuhan, tapi yang pasti, semua rasa kehilangan dan penderitaan itu harus ditanggung oleh sang Ratu Adil. Mirisnya, tentara Kompeni tidak hanya ada belanda, tapi ada juga rekrutan serdadu pribumi. Selama masa perang itu pula, Pangeran Diponegoro kehilangan orang-orang tercintanya. Banyak pengikut, pasukan, kerabat bahkan keluarga yang menjadi korban. Dimulai dari masa kecil diasuh oleh neneknya, menolak untuk tunduk dan menyerahkan wilayahnya, berperang melawan benteng tak tertembus hingga menguras banyak kas Belanda, sampai akhirnya harus menyerah. Bukan kalah dalam Medan perang, tapi pengkhianat mem...
Baca selengkapnya