NationStates Konfirmasi Kebocoran Data, Situs Game Sempat Ditutup

NationStates, gim simulasi pemerintahan berbasis peramban yang telah lama beroperasi, mengonfirmasi terjadinya kebocoran data setelah menutup sementara situsnya untuk menyelidiki sebuah insiden keamanan. Penutupan ini dilakukan menyusul ditemukannya akses tidak sah ke server produksi utama yang berujung pada penyalinan data pengguna.

Gim multipemain yang dikembangkan oleh penulis Max Barry dan terinspirasi dari novelnya Jennifer Government tersebut mengungkapkan bahwa seorang pengguna berhasil memperoleh akses tingkat lanjut ke sistem. Akses ini memungkinkan pelaku menyalin kode aplikasi serta data pengguna dari server produksi NationStates.

Berawal dari Laporan Celah Keamanan

Insiden ini bermula pada 27 Januari 2026 sekitar pukul 22.00 UTC, ketika NationStates menerima laporan dari seorang pemain terkait adanya kerentanan kritis dalam kode aplikasi. Pemain tersebut diketahui bukan staf internal, meski memiliki riwayat panjang dalam melaporkan bug dan kerentanan sejak 2021.

Namun, dalam proses pengujian celah tersebut, pelapor melampaui batas kewenangan yang diperbolehkan. Ia berhasil melakukan remote code execution pada server produksi utama, yang kemudian dimanfaatkan untuk menyalin data dan kode sistem ke perangkat pribadinya.

Pihak NationStates menyatakan bahwa meskipun individu tersebut telah menyampaikan permintaan maaf dan mengklaim telah menghapus data yang diambil, tidak ada cara teknis untuk memverifikasi pernyataan tersebut. Oleh karena itu, perusahaan menganggap sistem dan data pengguna telah sepenuhnya terkompromi.

Celah pada Fitur Baru Jadi Titik Masuk

Berdasarkan hasil investigasi awal, kebocoran ini berasal dari cacat keamanan pada fitur relatif baru bernama Dispatch Search yang diperkenalkan pada September 2025. Pelaku memanfaatkan kombinasi sanitasi input yang tidak memadai dan bug double parsing, sehingga berhasil mengeksekusi perintah jarak jauh di server.

Pihak pengembang menegaskan bahwa ini merupakan celah kritis pertama dengan dampak sebesar ini sepanjang sejarah NationStates. Meski menghargai laporan kerentanan tersebut, mereka menilai tindakan pelapor telah melanggar batas karena melakukan akses ilegal ke server produksi.

Akibat adanya akses tidak sah, satu-satunya cara untuk memastikan keamanan sistem adalah dengan mematikan server sepenuhnya dan membangun ulang infrastruktur dari awal. Proses ini diperkirakan memakan waktu beberapa hari.

Jenis Data yang Terdampak

NationStates mengungkapkan bahwa data yang terekspos mencakup alamat email pengguna, termasuk alamat email lama yang pernah dikaitkan dengan akun. Selain itu, kata sandi pengguna juga terdampak, meski disimpan dalam bentuk hash MD5.

Metode MD5 sendiri merupakan standar lama yang kini dianggap tidak lagi memadai untuk melindungi kata sandi, terutama jika data jatuh ke tangan pihak yang memiliki salinan offline. Selain itu, alamat IP yang digunakan saat login serta browser user-agent juga termasuk dalam data yang berpotensi terekspos.

Data telegram internal, yaitu sistem pesan privat dalam gim yang fungsinya mirip email atau pesan pribadi forum, juga diduga sebagian terpapar. Meski pelaku tidak sepenuhnya masuk ke server penyimpanan telegram, terdapat upaya eksploitasi akses yang berpotensi membuka sebagian isi pesan.

NationStates menegaskan bahwa mereka tidak mengumpulkan data sensitif seperti nama asli, alamat fisik, nomor telepon, maupun informasi kartu kredit.

Pemulihan Sistem dan Langkah Lanjutan

Pihak pengembang memperkirakan situs akan kembali online dalam kurun dua hingga lima hari. Setelah layanan dipulihkan, pengguna akan diwajibkan untuk mengatur ulang kata sandi mereka dan dapat memeriksa data apa saja yang tersimpan pada akun masing-masing.

Sementara itu, insiden ini telah dilaporkan kepada otoritas pemerintah terkait. NationStates saat ini fokus pada pembangunan ulang server produksi dengan perangkat keras baru, melakukan audit keamanan menyeluruh, meningkatkan sistem perlindungan, serta memperbarui mekanisme penyimpanan kata sandi agar sesuai dengan standar keamanan modern.

Kasus ini menjadi pengingat bahwa bahkan komunitas yang mengedepankan kolaborasi pelaporan bug tetap memerlukan batasan yang jelas, serta bahwa satu celah kritis pada fitur baru dapat berdampak besar jika dieksploitasi tanpa pengamanan memadai.