SEVIMA
SSC 2026
SEVIMA SECURITY CHALLENGE
Secure Campus, Secure Future
Menginisialisasi sistem...
HUNTING PERIOD OPEN 1 – 31 JULI 2026 · ssc.sevima.com

Hack Ethically,
Win Brilliantly

Temukan celah keamanan di SiakadCloud & Edlink. Raih insentif hingga Rp 5 juta per temuan dan jadilah bagian dari gerakan ketahanan siber ekosistem pendidikan bersama kampus mitra SEVIMA.

Daftar di ssc.sevima.com → Lihat Jadwal
Rp 15 Jt
GRAND CHAMPION
Rp 5 Jt
MAX PER FINDING
31 Hari
HUNTING PERIOD
🎯 SiakadCloud
🔗 Edlink
Bug Hunter SSC 2026
🏆
Rp 15 Jt
GRAND CHAMPION
🔴
Rp 5 Jt
PER CRITICAL FINDING
📅
31 Hari
HUNTING PERIOD
🎯
2 Target
SIAKADCLOUD & EDLINK
🛡
CVSS 3.1
STANDAR PENILAIAN
TENTANG PROGRAM

Apa itu SSC 2026?

SEVIMA Security Challenge adalah kompetisi bug bounty pertama PT Sentra Vidya Utama untuk menguji ketahanan siber ekosistem mitra SEVIMA secara etis dan profesional.

01
Safe Harbor (UU ITE & UU PDP)
Peserta yang mematuhi aturan mendapat jaminan perlindungan penuh — tidak dituntut pidana, perdata, maupun dilaporkan ke pihak berwajib.
02
Data Dummy, Pengujian Nyata
Lingkungan staging menggunakan dummy data fiktif, terisolasi sempurna dari data produksi asli.
03
Tim Kampus Mitra (Maks. 5 Anggota)
Eksklusif kampus mitra SEVIMA. Tidak ada batasan jumlah tim per kampus, maks. 5 anggota per tim. Daftar di ssc.sevima.com.
04
Grand Final di Surabaya
5 kampus terbaik diundang presentasi langsung ke kantor SEVIMA Surabaya.
ssc2026.config.json
{
  "program": "Sevima Security Challenge",
  "year": 2026,
  "organizer": "PT Sentra Vidya Utama",
  "targets": [
    "SiakadCloud (Staging)",
    "Edlink (Staging)"
  ],
  "method": "Black Box + Grey Box",
  "hunting": "2026-07-01 / 2026-07-31",
  "grand_final": "10 Agustus 2026 (Hakteknas)",
  "safe_harbor": true,
  "contact": "Security_SSC@sevima.com"
}
// status: OPEN — 1 Jul 2026
JADWAL KEGIATAN

Timeline Program SSC 2026

Catat setiap fase agar tidak melewatkan satu pun momen penting.

01
FASE PENDAFTARAN
Registrasi & Onboarding
Sebelum 1 Juli 2026
Tim kampus mendaftar secara resmi. Peserta lolos verifikasi menerima undangan Grup WhatsApp, akun staging, dan mengikuti Technical Meeting untuk briefing teknis lengkap.
02
FASE PENGUJIAN
Live Hunting Period
1 – 31 Juli 2026
31 hari penuh menemukan kerentanan di SiakadCloud dan Edlink. Laporan dikirim via email Security_SSC@sevima.com. Validasi rolling. Tim Emergency 24/7.
03
FASE VALIDASI AKHIR
Final Review & Severity Classification
1 – 3 Agustus 2026
Tim Penilai melakukan validasi akhir, klasifikasi severity berdasarkan CVSS 3.1 yang dikalibrasi dampak bisnis, dan klarifikasi tertulis bila diperlukan.
04
FASE GRAND FINAL
Pengumuman & Grand Final Surabaya
3 – 10 Agustus 2026
5 Kampus Terbaik diundang ke Surabaya. Grand Final & Penganugerahan Pemenang dilaksanakan bertepatan dengan Hakteknas 10 Agustus 2026.
05
FASE PEMBAYARAN
Pencairan Insentif (Batch Tunggal)
31 Agustus 2026
Seluruh insentif dibayarkan dalam 1 batch. Seluruh insentif (Per-Finding, Grand Champion, Special Awards) dibayarkan 1 batch tunggal. Dokumen administrasi wajib diserahkan paling lambat 25 Agustus 2026 pukul 23.59 WIB.
TARGET PENGUJIAN

Ruang Lingkup

Pengujian hanya diizinkan pada dua aplikasi staging resmi. Detail URL disampaikan saat Technical Meeting.

IN SCOPE
🎓
SiakadCloud
Sistem Informasi Akademik · Staging Environment
Platform manajemen akademik perguruan tinggi mitra SEVIMA. Peserta mendapat minimal 2 pasang kredensial dengan level akses berbeda (Mahasiswa & Dosen).
Black Box Grey Box Dummy Data Staging Only
IN SCOPE
🔗
Edlink
Platform Pembelajaran Digital · Staging Environment
Platform e-learning terintegrasi dalam ekosistem SEVIMA. Peserta mendapat akun User untuk pengujian terkontrol pada lingkungan staging yang terisolasi.
Black Box Grey Box Dummy Data Staging Only
⚠️ OUT OF SCOPE: Infrastruktur produksi, jaringan internal, aplikasi SEVIMA lain, layanan third-party, dan kerentanan teoritis tanpa PoC. Akses di luar scope berakibat diskualifikasi dan pencabutan Safe Harbor.
TINGKAT KERENTANAN

Sistem Penilaian CVSS v3.1

Setiap temuan dievaluasi berdasarkan Common Vulnerability Scoring System v3.1 dengan standar internasional.

CRITICAL
Rp 5.000.000
CVSS Score: 9.0 – 10.0 · 400 poin
Akses penuh tak terotorisasi atau kerusakan sistem masif. Dampak maksimal pada kerahasiaan & integritas data.
RCEAuth BypassSQLi
HIGH
Rp 2.500.000
CVSS Score: 7.0 – 8.9 · 250 poin
Kerentanan serius yang dapat dieksploitasi dengan dampak signifikan pada data atau fungsionalitas sistem.
IDORStored XSSSSRF
MEDIUM
Rp 1.500.000
CVSS Score: 4.0 – 6.9 · 100 poin
Membutuhkan kondisi tertentu untuk dieksploitasi. Dampak terbatas namun tetap memerlukan perbaikan.
CSRFOpen RedirectInfo Disclosure
LOW
Rp 500.000
CVSS Score: 0.1 – 3.9 · 50 poin
Dampak minimal atau sulit dieksploitasi. Misconfiguration kecil, informasi versi terbuka, clickjacking.
ClickjackingVersion Expose
PENGHARGAAN

Hadiah & Insentif

💰 Insentif Per-Finding

SEVERITYREWARDPOINCONTOH
CRITICALRp 5.000.000400 ptsRCE, Auth Bypass
HIGHRp 2.500.000250 ptsIDOR, SQLi
MEDIUMRp 1.500.000100 ptsStored XSS
LOWRp 500.00050 ptsReflected XSS

⭐ Special Awards

✍️ Best Writeup
Laporan paling profesional & sistematis
Rp 2.500.000
💡 Most Creative Finding
Teknik & vektor serangan paling unik
Rp 2.500.000
⚡ Best Payload & Exploit
Payload paling efektif & inovatif
Rp 2.500.000

🏆 Grand Champion (Per Kampus)

🥇
JUARA PERTAMA
Rp 15.000.000
Trophy + Plakat + Undangan Grand Final Surabaya
🥈
JUARA KEDUA
Rp 10.000.000
Trophy + Undangan Grand Final Surabaya
🥉
JUARA KETIGA
Rp 5.000.000
Trophy + Undangan Grand Final Surabaya
📌 Hadiah Grand Champion bersifat kumulatif dan dibayarkan ke rekening resmi institusi. Peserta tetap menerima akumulasi Insentif Per-Finding yang diperoleh.
ELIGIBLE FINDINGS

Kerentanan yang Diterima

Wajib disertai Proof-of-Concept valid dan dapat direplikasi oleh tim penilai.

🔓KRITIS
Broken Access Control
Authentication Bypass, Authorization Flaws, gagal validasi hak akses antar pengguna.
💉KRITIS
Injection Vulnerabilities
SQL Injection, Command Injection, dan seluruh jenis injection lainnya yang terbukti.
💻KRITIS
Remote Code Execution
Eksekusi perintah sistem secara tidak sah pada server target pengujian.
📜TINGGI
Cross-Site Scripting (XSS)
Stored XSS berimpak tinggi. Reflected XSS dengan dampak nyata pada pengguna lain.
⚙️TINGGI
Business Logic Vulnerabilities
Cacat logika alur aplikasi yang menyebabkan penyalahgunaan fungsi bisnis.
📡TINGGI
SSRF
Manipulasi server untuk mengakses resource internal atau eksternal yang tidak diizinkan.
📂TINGGI
Information Disclosure
Kebocoran data sensitif, PII, atau konfigurasi sistem yang terekspos secara tidak sengaja.
🔐MENENGAH
Account Takeover
Pengambilalihan akun akibat lemahnya rate limiting, CAPTCHA, 2FA, atau WAF.
🗄️MENENGAH
IDOR
Insecure Direct Object Reference — akses tidak sah ke data pengguna lain.
🔌MENENGAH
API Security Issues
Celah keamanan pada endpoint API termasuk autentikasi dan otorisasi yang lemah.
RULES OF ENGAGEMENT

Aturan & Etika

Wajib dipatuhi seluruh peserta. Pelanggaran berat berakibat pencabutan Safe Harbor dan tindakan hukum.

✅ Yang Boleh Dilakukan
  • Pengujian hanya pada aplikasi staging resmi (SiakadCloud & Edlink) yang telah ditentukan SEVIMA.
  • Menggunakan credentials yang diberikan untuk Grey Box Testing dengan level akses yang telah ditetapkan.
  • Melaporkan semua temuan selama dapat membuktikan business impact secara nyata.
  • Menghubungi jalur darurat 24/7 jika menemukan jalur menuju environment produksi, lalu segera hentikan pengujian.
  • Mempublikasikan writeup setelah 1 Desember 2026 untuk temuan yang telah divalidasi.
❌ Yang Dilarang Keras
  • Dilarang mengakses, scanning, atau mengeksploitasi infrastruktur produksi, jaringan internal, atau aset di luar scope.
  • Dilarang melakukan DoS/DDoS, penghapusan data masif, atau perubahan konfigurasi server.
  • Dilarang social engineering, phishing, atau physical attack terhadap karyawan dan aset SEVIMA.
  • Dilarang menyalin atau menyebarkan data PII yang ditemukan. Wajib segera lapor ke panitia.
  • Dilarang mempublikasikan temuan sebelum embargo berakhir (publikasi mulai 1 Des 2026).
  • Dilarang mengirim laporan otomatis dari scanner tanpa analisis manual yang memadai.
KONTAK RESMI

Saluran Komunikasi

EMAIL RESMI
📧
Laporan & Darurat
ssc.sevima.com
Website resmi untuk pendaftaran & pengiriman laporan. Untuk temuan Critical, laporan dapat dikirim langsung ke Security_SSC@sevima.com. Semua komunikasi lainnya via WhatsApp Group. Dimonitor 24 jam.
WHATSAPP GROUP
Grup WhatsApp Resmi SSC 2026
wa.me/628167145300 (ILHAM)
Seluruh komunikasi, pengumuman, Q&A, dan sesi sosialisasi dilakukan via WhatsApp Group. Link grup akan dibagikan setelah registrasi di ssc.sevima.com. Sesi Zoom setiap Senin pukul 16.00 WIB.
Hubungi via WhatsApp
KONTAK DARURAT
PERANKONTAKJAM
PIC Program (ILHAM)WhatsApp: 0816714530008.30–16.30
Emergency EmailSecurity_SSC@sevima.com24 Jam
Format: [URGENT - SSC 2026] - [ID] - [INSIDEN]
SLA respons 15–30 menit saat jam kerja.
HUNTING PERIOD · 1 – 31 JULI 2026
Siap Meramaikan
Bug Bounty SEVIMA?
CARI BUG-NYA, DAPATKAN HADIAHNYA · GRAND FINAL HAKTEKNAS 10 AGUSTUS 2026
Daftar di ssc.sevima.com → Bergabung WhatsApp Rules of Engagement
Batas Pendaftaran: 28 Juni 2026 pukul 23.59 WIB · GRATIS!