Masuk Mal ‘Check in’ Kode QR: Simpel dan Lebih Aman Ketimbang Cetak Sertifikat Vaksin

Cyberthreat.id – Mulai pekan ini, pusat perbelanjaan di beberapa kota di Jawa (Jakarta, Semarang, Bandung, dan Surabaya) dibuka untuk pengunjung. Di Jakarta sebanyak 85 mal kembali beroperasi. Namun, pengunjung harus bisa menunjukkan bukti telah disuntik vaksin Covid-19: sertifikat vaksinasi.

Bagi sebagian orang sertifikat berbentuk kertas dianggap kurang praktis, maka sejak bulan lalu, ramai di media sosial penawaran jasa pencetakan sertifikat vaksin dalam bentuk kartu layaknya ATM atau KTP elektronik.

Gelombang permintaan itu ternyata cukup tinggi sehingga menjadi ladang bisnis baru dengan omzet lumayan tinggi hingga jutaan rupiah, tulis Kompas.com.

Tingginya permintaan itu juga didorong isu yang berkembang di masyarakat bahwa “siapa saja yang mengurus pelayanan publik wajib menunjukkan bukti vaksinasi”. Pemerintah memang telah mengeluarkan regulasi Perpres Nomor 14/2021 (terutama pasal 13A ayat 4), bahwa setiap orang yang menjadi sasaran vaksin tapi tidak mengikutinya akan dikenai sanksi administrasi, seperti penundaan/penghentian pemberian jaminan sosial/bantuan sosial, penundaan/penghentian layanan administrasi pemerintahan, dan denda. Namun, penerapan regulasi ini masih belum jelas kapan akan diterapkan.

Pembuatan kartu vaksinasi memang tidak dilarang oleh pemerintah. Namun, pemerintah hanya meminta warga menjaga data pribadi yang terdapat dalam sertifikat tersebut. Sebab, pencetakan sertifikat vaksin potensial menimbulkan masalah baru, yaitu pengumpulan data pribadi seseorang.

Pakar keamanan siber dari Vaksin.com, Alfons Tanujaya, juga menyarankan agar masyarakat tidak perlu mencetak sertifikat vaksin. Ini lantaran, “Jasa pencetak secara otomatis mendapatkan kumpulan data kependudukan (NIK), nama lengkap, dan tanggal lahir yang berharga,” ujar Alfons di blog perusahaan, diakses Kamis (12 Agustus 2021).

Dengan data seperti itu, kata dia, sangat berpotensi untuk membuat  KTP asli-palsu yang bisa dipakai untuk tindakan ilegal, misal, membuka rekening bank penampungan hasil kriminal atau melakukan pinjaman online. “Karena itulah, masyarakat harus hati-hati melindungi datanya semaksimal mungkin,” ujar Alfons.

Kode QR

Inisiatif mal atau pusat perbelanjaan menerapkan kode QR untuk dipindai dengan aplikasi adalah solusi yang diaras lebih baik alih-alih menugaskan petugas keamanan memeriksa manual sertifikat vaksinasi.

Pemeriksaan manual, seperti kertas atau kartu vaksin ala KTP juga berpotensi keliru, sebab bisa saja pengunjung memanipulasi kartu vaksin. Namun, dengan solusi teknologi informasi, berupa pemindaian kode QR melalui aplikasi PeduliLindungi yang telah dibuat oleh Kementerian Komunikasi dan Informatika RI sejak tahun lalu, maka verifikasi data vaksinasi makin mudah dan sulit dimanipulasi.

Alfons juga sependapat dengan solusi pemindaian tersebut. “Metode pengecekan sertifikat vaksin menggunakan aplikasi gawai untuk pemindai kode QR di mal atau tempat makan direkomendasikan dan cukup aman karena dapat mencegah kebocoran data,” tutur Alfons.

Aplikasi JAKI

Satu hal yang dikritik oleh Alfons adalah aplikasi PeduliLindungi masih mencantumkan secara jelas angka NIK. Ia mengusulkan agar NIK bisa disamarkan, seperti halnya yang dilakukan aplikasi Jakarta Kini (JAKI), di bawah ini.

Aplikasi JAKI ini juga menyediakan pemeriksaan seseorang telah mendapatkan vaksinasi atau belum. Untuk memeriksanya, pengguna tak perlu mengunduh aplikasi karena berbasis peramban web (browser). Pengguna bisa langsung mengakses melalui peramban di ponselnya di alamat https://vaksinasi-corona.jakarta.go.id/.

Setelah masuk di laman web tersebut, pengguna bisa langsung mengisi NIK dan nama lengkap, lalu klik Periksa. Di bagian bawah terdapat, tombol cek sertifikat vaksin yang jika diklik, pengguna akan diarahkan ke aplikasi PeduliLindungi.

Memindai kode QR saat masuk mal

Canggih, seorang warga Depok, Jawa Barat, menceritakan bagaimana dirinya masuk ke mal pada Kamis (13 Agustus). Saat berkunjung ke mal Kuningan City, Jakarta Selatan,  ia diminta oleh petugas jaga untuk memindai kode QR yang telah disediakan di pintu masuk.

Petugas itu meminta Canggih untuk membuka aplikasi PeduliLindungi. Setelah aplikasi terbuka, ia memencet fitur “scan QR code” dan mengarahkan ponsel pintarnya ke kode QR yang telah tersedia.

Begitu dipindai, tampilan di layar ponsel akan meminta pengguna “check in”, seperti gambar di bawah ini. Juga, tersedia informasi dia sebagai pengunjung ke berapa yang masuk ke mal tersebut dari total kuota yang tersedia.

Canggih mengatakan, petugas mengizinkan dirinya masuk setelah hasil pemindaian di aplikasi menunjukkan warna “Hijau” yang melingkari kode QR. “Kalau warnanya ‘Merah’, enggak boleh masuk,” kata dia. Sementara, kata dia, temannya ada yang mendapatkan warna “Oranye”, tapi masih diperbolehkan masuk.

Terpisah, saat dihubungi Cyberthreat.id, kemarin, Menurut Ketua Umum Asosiasi Pengelola Pusat Belanja Indonesia (APPBI), Alphonzus Widjaja, mengatakan, warna “Oranye” termasuk kategori belum divaksinasi, tapi ada hasil tes antigen atau PCR.

Kode QR yang disediakan oleh mal tersebut juga dibedakan antara pengunjung dan karyawan mal. Kode-kode QR tersebut disediakan oleh Kementerian Kesehatan RI yang bekerja sama dengan mal-mal yang beroperasi.

Apakah kode QR boleh difoto?

Canggih sempat ingin memotret kode QR tersebut, tapi dilarang oleh petugas jaga. Tidak jelas alasan apa yang membuat seseorang tak boleh memotret kode QR. Penjaga tak menjelaskan apa-apa.

Hanya, dalam uji coba Cyberthreat.id terhadap foto-foto kode QR mal yang beredar di media online, aplikasi PeduliLindungi bisa membaca kode QR tersebut meski dalam bentuk foto. Hanya foto-foto yang kualitas bagus yang memungkinkan dibaca oleh pemindai.

Namun, ketika Cyberthreat.id ingin “check in” ternyata tidak diizinkan lantaran tidak dalam satu lokasi. Lalu, dicobalah dengan “fake GPS”, tapi aplikasi PeduliLindungi mendeteksi bahwa pengguna menggunakan lokasi GPS palsu dan aplikasi harus ditutup. Sejauh ini, pendek kata, aplikasi PeduliLindungi sulit untuk dimanipulasi, begitu pula dengan kode QR.

Larangan memotret tersebut, kemungkinan untuk memudahkan pemantauan pengunjung. Jika ada seseorang yang sebelumnya telah memotret kode QR, karena berada di lokasi tersebut dan ingin masuk mal, dia cukup memindai lewat foto itu tanpa perlu antre terlebih dulu di pintu masuk. Atau, bisa pula untuk mencegah tindakan iseng, sebab sebagian orang bisa membanjiri “check in” selama mal beroperasi, padahal dirinya tidak masuk mal, sehingga mengurangi jumlah kuota pengunjung.

Pengunjung yang ingin keluar mal, juga disarankan untuk “check out”. Canggih mengaku sempat tidak melakukan prosedur “check out”. Tentu ini berpengaruh pada kuota pengunjung mal tersebut.

Namun, Alphonzus mengatakan, jika ada pengunjung yang tidak melakukan “check out” tidak akan masalah, sebab ada mekanisme “check out” otomatis setelah tiga jam.

“Atau setelah meninggalkan lokasi sejauh 300 meter,” ujar dia. Jawaban Alphonzus ini menguatkan informasi yang tertera di aplikasi PeduliLindungi bahwa untuk “check in” seseorang harus berada di satu lokasi dan jaraknya, bisa jadi, di radius kurang dari 300 meter seperti yang diutarakan Alphonzus tersebut.[]