Tahun 2005 lalu, saya mengikuti kompetisi blog BubuAwards 2005 yang biasa setiap tahun diadakan oleh Bubu. Dan tentu saja kategori blog. Ada banyak hal yang menarik seputar pemilihan "blog favorit" ini. Mas Priyadi pernah membahas hal ini, dan cukup ramai pengunjung yang berkomentar.

Untuk pemilihan, dibagi dalam dua tahap. Tahap pertama adalah tahap penyisihan, lalu 10 blog dengan pemilih terbanyak akan meneruskan ke tahap final. Keduanya menggunakan sistem voting, tanpa campur tangan juri.

Untuk tahap penyisihan sistem voting-nya adalah online voting melalui situs resmi BubuAwards. Sistem ini sungguh riskan dari kecurangan, satu orang bisa memberikan lebih dari satu suara, kan? Namun pihak panitia tentu saja sudah mengantisipasinya. Untuk memberikan suara, pemberi suara harus menyertakan alamat emailnya. Apakah kita bisa memalsukan alamat email sehingga memiliki banyak alamat dan dapat memberikan banyak suara? Tentu saja bisa. Siapa yang bisa melarang seseorang memiliki banyak alamat email? Tidak ada. Tapi, apakah Anda bisa membuat alamat email baru sebanyak ribuan dalam waktu singkat?

Alamat email palsu! gunakan saja alamat email sembarangan saat memberikan suara Anda. Tidak bisa! Karena setiap suara yang Anda berikan tidak langsung valid dan belum dihitung hingga Anda melakukan validasi: kode untuk validasi dikirimkan ke email yang digunakan untuk memberikan suara. Anda harus menggunakan alamat email yang aktif dan valid untuk memberikan suara.

Nah, praktek kecurangan saya mulai — saya rasa ini bukanlah sebuah hack — dengan celah ini. Saya memiliki sebuah domain adhamsomantrie.net, sehingga saya bisa saja membuat alamat email [email protected], [email protected], dan seterusnya hingga [email protected]. Dengan alamat 1 hingga 9999, apakah saya harus memiliki 9999 mailbox? Tentu saja tidak, ada sebuah fitur bernama email forwarding dan default email address pada paket hosting saya (dan juga tersedia pada hampir semua layanan hosting). Semua email tersebut akan masuk pada satu mailbox saja, sehingga lebih mudah untuk dibuka satu per satu.

Jika Anda mengerti pemrograman lanjut, proses validasi ini pun mungkin bisa saja dilakukan dengan penuh otomatisasi: bot.

Maka, terjawablah mengapa situs saya — yang entah kenapa sering jatuh (down) selama masa kompetisi, kemungkinan ada serangan DDoS dari kompetitor — bisa mendapat suara terbanyak. Tentu saja saya bisa masuk ke tahap final karena "trik" ini.

Sementara di tahap final saya tidak bisa berbuat banyak. Karena sistem pemungutan suaranya menggunakan SMS premium yang sedang maraknya pada tahun itu: AFI, Indonesian Idol, KDI, dll. Dengan tarif Rp.2000,00 per SMS, tentu butuh modal besar (atau sukarelawan yang sangat banyak) untuk bisa dipastikan menang. Dan saya memutuskan untuk diam di tempat dan hanya mengandalkan banner pada blog saya ini.

Pada tahun 2009 ini, PestaBlogger kembali diadakan dan juga disertai dengan lomba blog: Blog Award PestaBlogger 2009. Bubu menjadi salah satu panitia acara. Juga terdapat sistem online voting di dalamnya. Tapi apakah sistem online voting adalah penilaian mutlak? atau juga ada campur tangan dari dewan juri?

Tapi sistem keamanan pada online voting melemah, tidak seaman empat tahun lalu (padahal pada 2005 saja belum aman): tidak ada validasi email. Saya bisa memberikan lebih dari satu suara valid untuk sebuah kontestan hanya dengan menggunakan alamat email orang lain (atau bahkan alamat email yang belum dibuat sekalipun) selama alamat email tersebut belum pernah digunakan untuk memberikan suara.

Pada 18 Oktober 2009, seluruh tulisan di atas saya kirim kepada panitia PestaBlogger 2009. Dan pada 19 Oktober 2009 malam, aplikasi pemungutan suara daring Blog Award PB09 diubah, baik secara antarmuka juga sistem validasi email. Dan satu hal provokatif: jumlah suara sementara, juga tidak lagi ditampilkan. Saya pun memutuskan untuk mempublikasi tulisan ini setelah para pemenang lomba diresmikan oleh panitia.

Medan, 17 dan 19 Oktober 2009.
Adham Somantrie