Pendahuluan

Di era digital ini sering kali kita melakukan pencarian informasi di browser,yang dimana pencarian yang kalian itu saling terhubung antar web atau data yang lain. mesin pencari seperti Google adalah jendela dunia.Namun, di balik kemudahan mencari resep masakan atau berita terbaru, tersembunyi kemampuan yang jauh lebih dalam yang dikenal sebagai Google Dorking.Bagi profesioanl cybersecurity Google Dorking ini sering kali digunakan untuk mengecek kebocoran data pada sebuah aplikasi website,yang dimana Google Dorking itu adalah sebuah teknik menggunakan operator pencarian lanjutan seperti seperti intitle:, inurl:, filetype: , site: untuk menemukan informasi spesifik yang tidak mudah terlihat dalam pencarian biasa,jadi di ibaratkan pencarian barang menggunakan senter yang bisa menyinari sudut sudut gelap dari internet yang seharusnya itu tersembunyi.

Dalam konteks Penetration Testing atau pengujian kerentanan, teknik ini adalah senjata ampuh. White hat hackers menggunakannya untuk menemukan file konfigurasi yang bocor, login panels admin yang terekspos,file env pada suatu web, atau data sensitif lainnya yang bisa dieksploitasi oleh black hat hackers.

Apa Itu Google Dorking? (Dasar Teknis)

Google Dorking bukanlah hacking dalam arti "menerobos tembok". Sederhananya, ini adalah memanfaatkan fitur indexing Google.Misalnya, seorang security engineer ingin mencari file excel yang mengandung kata "password" di sebuah domain tertentu, ia bisa mengetik:

site:.ac.id filetype:pdf unsoed

Penjelasan : site yang dimana kita menentukan domain kita yang mau kita target dengan mendeklarasikan filetype yang bertujuan mencari di domain tersebut yang berisi file dengan tipe .pdf dengan tambahan kalimat di akhirnya untuk mentargetkan kata kunci"unsoed" untuk mencari kata "unsoed"

walaupun aksesnya melalui browser biasa, teknik ini bisa mentarget pada penemuan data pribadi seperti Nomor Induk Kependudukan (NIK), nomor telepon, alamat email, hingga data medis atau file yang privasi seperti file .env pada sebuah web yang seharusnya tidak diindeks oleh publik maka sering disebut senter karena untuk menyinari sudut sudut pada internet untuk mencari data data yang seharusnya tidak diindex di publik

Bagaimana cara kerja Google Dorking ini?

Google dorking membantu mengidentifikasi jenis halaman atau file yang diindeks secara spesifik dengan memfilter hasil berdasarkan domain, format file, judul halaman, atau struktur URL. Hal ini mempermudah pencarian hal-hal seperti dokumen yang diindeks secara publik, halaman uji, atau konten yang mungkin ingin ditinjau oleh suatu organisasi.

Anda cukup ketik sesuai perintah yang sudah ada,nanti di index google akan menampilkan halaman atau web yang terindikasi sesuai perintah yang kalian ketikan.Tetapi sering kali disalahgunakan Google Dorking ini untuk mencari data pribadi untuk kepentingan sendiri,semisal mencari data NIK,Nomer telpon,password,alamat email.

Dasar Hukum Internasional

Di tingkat global, terutama Amerika Serikat, hukum yang mengatur aktivitas peretasan adalah Computer Fraud and Abuse Act (CFAA) of 1986 (Title 18 U.S.C. § 1030). CFAA melarang akses tidak sah (unauthorized access) ke komputer .

Tetapi muncul pertanyaan krusial "Apakah mengakses informasi yang sudah diindeks Google (sumber terbuka) dianggap tidak sah"?

Menurut analisis hukum yang dipublikasikan di Washington Journal of Law, Technology & Arts, Google Dorking berada di area abu-abu. Karena hasil pencarian adalah informasi publik yang disediakan oleh Google, mengaksesnya TIDAK melanggar CFAA selama Anda tidak memanfaatkan informasi tersebut untuk masuk ke sistem yang dilindungi password

Sebagai studi kasus internasional, terdapat insiden peretasan kamera Verkada pada tahun 2021. Hacker menggunakan Google Dorking untuk menemukan kamera keamanan yang terekspos, termasuk di dalam penjara dan pabrik Tesla. Till Kottmann, hacker yang terlibat, akhirnya dituntut bukan karena Dorking, tetapi karena mengakses dan mengunduh data dari sistem tersebut setelah menemukannya . Dorking itu hanyalah alat untuk mengecek kebocoran di cyber security,bisa disebut kejahatan dimulai saat Anda mengklik dan mengambil data.

Dasar Hukum Nasional (Indonesia)

Bagaimana dengan di Indonesia? Meskipun "Google Dorking" tidak secara eksplisit disebut dalam Kitab Undang-Undang Hukum Pidana (KUHP) kita, beberapa undang-undang siber dapat menjerat penggunaannya, terutama jika menyangkut data pribadi.

1. Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) No 19 Tahun 2016

Jika seorang penetration tester menggunakan Google Dork untuk menemukan celah, lalu mencoba masuk ke sistem tanpa izin, mereka bisa dijerat dengan : Pasal 30 ayat (3): "Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer atau Sistem Elektronik dengan cara apapun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan." Ancaman pidana penjara paling lama 8 tahun

2. Undang-Undang Perlindungan Data Pribadi (UU PDP) No 27 Tahun 2022

Ini adalah payung hukum terbaru yang paling relevan. Jika hasil Google Dorking yang ditemukan adalah data pribadi bersifat spesifik, maka pengumpulan dan penggunaannya diatur ketat.

Pasal 65 dan 67 UU PDP menyatakan bahwa:

• Setiap orang dilarang mengumpulkan data pribadi milik orang lain dengan maksud menguntungkan diri sendiri atau merugikan orang lain.
• Setiap orang dilarang mengumpulkan data pribadi milik orang lain dengan maksud menguntungkan diri sendiri atau merugikan orang lain.
• Sanksinya: Pidana penjara hingga 5 tahun atau denda hingga Rp5 miliar

Studi kasus lokal yang menarik adalah Kebocoran Data Komdigi (2026) . Meskipun bukan murni "Dorking" (lebih ke miskonfigurasi Google Drive), kasus ini membuktikan bahwa data sensitif seperti NIK dan foto KTP yang terekspos di mesin pencari adalah bom waktu. Kementerian yang menginisiasi UU PDP justru kecolongan karena data pelamar lowongan kerja (berkas lamaran) bisa diakses publik via Google . Bayangkan jika data ini ditemukan oleh black hat menggunakan Dorking sederhana seperti site:google.com filetype:pdf "data pelamar"

Kondisi yang Menyalahi Hukum dalam Praktik Pentest

Meskipun Anda adalah seorang ethical hacker atau mahasiswa yang sedang belajar cyber security, melakukan Google Dorking bisa berubah ilegal jika konteks dan tindak lanjutnya salah. Berikut adalah garis merah yang harus dihindari:

1. Tidak Memiliki Izin (Authorization) Ini adalah hukum mutlak dalam penetration testing. Jika Anda melakukan Dorking terhadap situs pemerintah atau perusahaan swasta tanpa contract agreement atau written consent, Anda sudah memasuki wilayah ilegal. Tidak masalah jika Anda hanya "melihat-lihat". Dalam hukum, niat baik tidak selalu membebaskan dari pasal "akses tanpa hak" .

2. Mengakses Payload/URL yang Ditemukan Anda menemukan URL admin.site.com/login via Dorking. Jika Anda mencoba menebak password "admin" atau "12345", secara teknis Anda melakukan brute force atau attempt to access. Ini adalah pelanggaran eksplisit terhadap sistem pengamanan (Pasal 30 UU ITE).

3. Melakukan Download Data Pribadi Ini adalah kesalahan fatal. Jika Anda menemukan spreadsheet yang berisi data pelanggan (NIK, alamat, gaji) via Dorking, mengunduhnya ke komputer pribadi adalah tindak pidana. Dalam UU PDP, "Pengumpulan" data pribadi tanpa izin adalah pidana . Seorang ethical hacker seharusnya hanya melakukan Proof of Concept (menunjukkan bukti layar/ screenshot) dan segera melaporkannya ke pemilik sistem, bukan menyimpannya untuk "portofolio".

Strategi Pencegahan

Karena Google Dorking memiliki potensi risiko terkait kebocoran data, langkah-langkah pencegahan harus menjadi prioritas utama untuk melindungi kerahasiaan data pribadi, baik milik individu maupun pemilik sistem.

1. Penggunaan robots.txt yang tepat: File robots.txt berfungsi sebagai "papan larangan" untuk crawler mesin pencari. Pastikan direktori sensitif seperti /admin, /backup, /config, dan /data-pribadi diblokir dengan menggunakan Disallow: Namun, perlu diingat bahwa robots.txt bersifat sukarela. peretas yang berniat jahat masih dapat mengaksesnya jika URL-nya diketahui, tetapi setidaknya dapat mencegah indeksasi publik oleh Google.
2. Authentication pada Semua Sumber Daya: Jangan pernah mengandalkan "security by obscurity" (menyembunyikan URL). Setiap halaman yang berisi data pribadi atau panel admin harus dilindungi oleh mekanisme login yang kuat, bukan hanya mengandalkan URL yang sulit ditebak.
3. Audit Keamanan Berkala dengan Perspektif Attacker: Lakukan scanning rutin terhadap domain Anda sendiri menggunakan alat seperti Google Search Console untuk melihat halaman apa saja yang berhasil diindeks oleh Google. Anda bisa menggunakan operator untuk melakukan self-dorking dan menemukan kebocoran sebelum orang lain melakukannya.
4. Penerapan Zero Trust Architecture: Asumsikan bahwa setiap data bisa bocor. Enkripsi data sensitif, gunakan access logging, dan terapkan prinsip hak akses minimal (least privilege). Jika data pribadi terlanjur terekspos, enkripsi akan membuatnya tidak dapat dibaca oleh pihak yang tidak berwenang.

Bagi Penetration Tester & Praktisi Keamanan:

1. Patuhi Scope yang Tertulis: Pekerjaan profesional dimulai dari kontrak. Jangan melakukan Google Dorking terhadap domain di luar ruang lingkup yang telah disepakati. Eksplorasi di luar izin adalah pelanggaran hukum, terlepas dari niat baik Anda.
2. Gunakan VM atau Lingkungan Terisolasi.Saat melakukan dorking untuk tujuan testing, gunakan virtual machine atau VPN yang terdedikasi. .
3. Jangan Unduh! Laporkan! Jika Anda menemukan file berisi data pribadi (NIK, nomor telepon, rekening bank) melalui Google Dorking, jangan buka, apalagi unduh. Cukup screenshot URL dan cuplikan hasil pencarian, lalu segera laporkan melalui mekanisme responsible disclosure ke pemilik sistem atau CSIRT setempat.
4. Dokumentasikan dan Simpan bukti izin tertulis, catatan waktu, dan hasil temuan. Dokumentasi yang baik adalah tameng hukum terbaik jika terjadi sengketa di kemudian hari.

Bagi Penetration Tester & Praktisi Keamanan:

1. Untuk Pekerjaan profesional dimulai dari kontrak. Jangan melakukan Google Dorking terhadap domain di luar ruang lingkup yang telah disepakati. Eksplorasi di luar izin adalah pelanggaran hukum, terlepas dari niat baik Anda.
2. Gunakan VM atau Lingkungan Terisolasi: Saat melakukan dorking untuk tujuan testing, gunakan virtual machine (VM) atau VPN yang terdedikasi. Jangan mencampur aktivitas profesional dengan pencarian pribadi untuk menghindari tuduhan "niat jahat" di pengadilan.
3. Jika Anda menemukan file berisi data pribadi (NIK, nomor telepon, rekening bank) melalui Google Dorking, jangan buka, apalagi unduh. Cukup screenshot URL dan cuplikan hasil pencarian (tanpa mengakses konten penuh), lalu segera laporkan melalui mekanisme responsible disclosure ke pemilik sistem atau CSIRT (Computer Security Incident Response Team) setempat.
4. Dokumentasikan Setiap Langkah dan Simpan bukti izin tertulis, catatan waktu, dan hasil temuan. Dokumentasi yang baik adalah tameng hukum terbaik jika terjadi sengketa di kemudian hari.

Bagi Pengguna Umum (Individu):

1. Lakukan Google Dorking pada Diri Sendiri: Coba ketik site:.com filetype:xlsx "nik anda " atau nomer anda di Google. Cek apakah data pribadi Anda tanpa sengaja bocor dan terindeks oleh mesin pencari. Ini disebut Self-OSINT.
2. Hati-hati Mengunggah Dokumen ke Cloud pastikan pengaturan privasi Google Drive, Dropbox, atau OneDrive Anda adalah Private atau "Specific People," bukan "Anyone with the link" apalagi "Public on the web." File publik adalah target empuk Google Dorking.
3. Gunakan Layanan Penghapusan Informasi apabila menemukan data pribadi Anda terindeks, ajukan penghapusan langsung ke Google melalui formulir Remove Outdated Content atau hubungi pemilik situs yang mempublikasikannya.

Dengan menerapkan langkah-langkah di atas, risiko penyalahgunaan Google Dorking dapat ditekan secara signifikan. Ingatlah bahwa teknologi hanyalah alat; pencegahannya terletak pada kesadaran, disiplin, dan kepatuhan hukum dari semua pihak yang terlibat.

Kesimpulan

Kesimpulannya, Google Dorking adalah pisau bedah di tangan dokter (bermanfaat menyelamatkan pasien), tetapi menjadi pisau pembunuh di tangan penjahat. Di Indonesia, UU PDP dan UU ITE sudah cukup kuat untuk menjerat penyalahgunaannya. Namun, senjata paling kuat untuk membedakan kriminal dan profesional bukan hanya hukum, melainkan etika dan integritas dari si pengguna tombol pencarian itu sendiri.

Referensi

1. Kashman, S. (2023). Google Dorking or Legal Hacking: From the CIA Compromise to Your Cameras at Home. Washington Journal of Law, Technology & Arts, 18(2).
2. Undang-Undang Nomor 19 Tahun 2016 tentang Perubahan atas Undang-Undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik.
3. Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP).
4. Cahyo. (2025). Apakah Dorking Termasuk OSINT? Narotama University.
5. DNT Lawyers. (2025). Maraknya Doxing di Era Digital: Bagaimana Ketentuan Hukumnya?
6. Brooklyn Law School. (2023). Student's Law Journal Article Examines Legal Issues of "Google Dorking".
7. Hukumonline. (2022). Dasar Hukum Perlindungan Data Pribadi Pengguna Internet.
8. Pikiran Rakyat. (2026). Kebocoran Data (Opini).
9. CNBC Indonesia. (2022). UU PDP Terbit, Ini yang Bertanggung Jawab Bila Data Bocor.
10. Polres Kudus. (2024). Jerat Hukum Pelaku Cracking Menurut UU PDP dan UU ITE.