Sertifikat Vaksin Jokowi Beredar di Medsos, Platform PeduliLindungi Memungkinkan Cek Data Status Vaksin Orang Lain

Cyberthreat.id – Pengguna jejaring sosial microblogging, Twitter, di Indonesia sejak Jumat (3 September 2021) pagi dihebohkan dengan beredarnya tampilan sertifikat vaksin Covid-19 milik Presiden RI Joko Widodo.

Tampilan sertifikat vaksin tersebut berwarna ungu dengan dasar warna krem artinya yang bersangkutan telah mendapatkan suntikan vaksin Covid-19 kedua.

Menteri Komunikasi dan Informatika Johnny G. Plate ketika dikonfirmasi terkait hal itu mengarahkan untuk bertanya lebih lanjut ke Kementerian Kesehatan selaku wali data Covid-19.

"Ada baiknya menunggu rilis resmi dari Kemenkes sebagai wali data Covid-19," jelas Johnny, Jumat dikutip dari CNN Indonesia.

Sementara, merespons insiden tersebut, Kementerian Kesehatan pun langsung menutup data vaksinasi para pejabat pemerintah. Menteri Kesehatan Budi Gunadi Sadikin mengatakan, informasi “bocornya data vaksin Jokowi” tersebut telah diketahui sejak Kamis (2 September) malam. “Sehingga data para pejabat ditutup,” ujarnya saat jumpa pers virtual di Polda Metro Jaya, Jumat yang disiarkan melalui saluran YouTube Polda Metro Jaya.

Kebocoran data pribadi yang sejak lama terjadi di Indonesia—Anda tinggal cek saja begitu mudah dan gamblangnya data NIK seseorang terindeks mesin pencarian Google—membuat insiden yang dialami Jokowi sangat memungkinkan terjadi. Apalagi Jokowi adalah seorang presiden yang informasi tentang diri dan aktivitasnya terekam di media massa dan internet.

Mari kita telaah tentang kejadian data vaksinasi presiden. Sejak tahun lalu saya tak peduli dengan aplikasi PeduliLindungi sebagai cara untuk melawan Covid-19. Ini lantaran aplikasi ini harus mengecek lokasi dan bagaimana mungkin aplikasi mengetahui seseorang terinfeksi virus corona, kecuali pengguna melengkapi data-data kesehatannya. Awal-awal aplikasi dirilis juga sempat dikritik karena mencontek Singapura yang mengeluarkan aplikasi TraceTogether. Sehari setelah mengumumkan TraceTogether, Menkominfo Johnny mengubah namanya menjadi PeduliLindungi (Baca: Banyak Warga Indonesia Kecele dengan Aplikasi TraceTogether)

Ketika pertama kali diluncurkan, saya mencoba aplikasi ini. Tak lama, aplikasi ini pun saya uninstall. Tak sedikit teman atau orang yang pernah memakai PeduliLindungi kala itu juga mengeluhkan aplikasi buatan PT Telkom ini. (Baca: Ramai Keluhan Saat Instal PeduliLindungi, Ini Jawaban Telkom)

Di tahun ini, saya terpaksa menginstal aplikasi PeduliLindungi lantaran ingin mengecek status vaksinasi. Ternyata, fitur-fitur aplikasi telah banyak berubah. Terakhir, termasuk terintegrasi dengan basis data kartu kewaspadaan kesehataan elektornik Kemenkes (eHAC). (Baca: BSSN dan Kemenkes Klaim Data Pengguna eHAC Tidak Bocor dan Masih Terlindungi)

Aplikasi ini juga diputuskan oleh pemerintah sebagai satu-satunya platform untuk memerangi virus corona, mau tidak mau, saya pun menginstalnya demi kemudahan aktivitas.

Skenario yang memungkinkan

Bagaimana mungkin data serfitikat vaksin yang sangat pribadi itu bisa tersebar. Ada banyak skenario untuk hal ini. Pertama, penyebar data itu atau orang yang mengetahui dan menyimpan data vaksinasi presiden adalah petugas input data vaksinasi.

Kedua, pengelola basis data atau siapa saja yang memiliki akses ke basis data vaksinasi memungkinkan untuk melihat informasi data pribadi tersebut. Ketiga, keluarga dari pemilik data tersebut, tapi saya kira faktor ini sangat kecil kemungkinannya untuk menyebarkan data  Terakhir, data tersebut diakses oleh eksternal alias peretas.

Namun, saya tidak akan berpikir terlalu rumit. Sejak menginstal aplikasi PeduliLindungi sehabis vaksin bulan lalu, saya sempat cemas dengan cara saya mengecek status vaksinasi, terutama untuk aplikasi PeduliLindungi berbasis web (www.pedulilindungi.id)--sementara ini tidak ada fitur periksa sertifikat vasin di aplikasi seluler PeduliLindungi. Tidak ada lapisan keamanan yang diatur oleh pengembang untuk aplikasi web ketika saya cek data vaksinasi, kecuali hanya tahapan penyelesaian teka-teki reCAPCTHA buatan Google.

Untuk akses data pribadi hanya dengan reCAPTCHA adalah sesuatu yang menggampangkan. Tapi, saya tidak terlalu memusingkan cara ini karena saat itu berpikir bahwa “tak mungkin ada seseorang menyalahgunakan aplikasi ini”.

Ternyata saya keliru. Saya tak menyadari bahwa informasi yang tercantum di PeduliLindungi adalah data pribadi yang bisa sebagai kartu “sapu jagad” di masa pandemi sekarang. Tak lama, bermunculanlah bisnis pencetakan sertifikat vaksinasi ala kartu ATM atau KTP elektronik yang dianggap bisa mempermudah seseorang ketika ditanya apakah telah divaksin atau belum.

Pemerintah pun merespons hal itu dan meminta masyarakat tak perlu mencetak vaksin karena ada ancaman kebocoran data. Pemerintah memutuskan untuk scan kode QR lewat PeduliLindungi bagi siapa saja yang ingin masuk ke pusat perbelanjaan meski di lapangan tak menutup kemungkinan ada penyelewengan protokol ini.

Ramainya pencetakan kartu vaksinasi, Kementerian Perdagangan pun menutup bisnis online ini di marketplace karena dianggap berpotensi mengancam keamanan konsumen. (Baca: Ribuan Jasa Cetak Kartu Vaksin Online Diblokir, Kemendang Sebut Berpotensi Langgar Hak Konsumen)

Ketika kasus Jokowi di atas muncul. Saya baru kembali mengingat kekhawatiran sebelumnya. Saya lalu menguji coba—tentu saya meminta persetujuan dari pemilik data—untuk mengakses data pribadi peserta vaksinasi sebanyak empat orang.

Di sini, saya mencoba mengakses informasi data vaksinasi dari tiga orang yang berbeda Kartu Keluarga dan satu anggota KK saya sendiri. Saya mengaksesnya melalui aplikasi PeduliLindungi berbasis web.

Saya berhasil mengakses informasi data tiga orang, bahkan saya bisa mengunduh sertifikat vaksinasi digitalnya. Sementara, satu orang gagal saya cek dengan notifikasi bahwa sertifikat vaksin tidak tersedia. Anehnya, ketika saya cek informasi status vaksin, yang bersangkutan bisa saya periksa dengan mudah.

Saya hanya butuh informasi nama lengkap, NIK, tanggal lahir, tanggal vaksinasi, dan informasi jenis vaksin yang diterima untuk bisa mendapatkan informasi sertifikat vaksin.

Dengan pola input tersebut tanpa ada kode sandi sekali pakai (OTP) layaknya kita mengakses layanan perbankan atau pinjol, misalnya, sangat mudah bagi siapa saja untuk mengetahui informasi data vaksinasi orang lain.

Apa yang saya khawatirkan ini juga senada diutarakan oleh pengamat media sosial dan pendiri Drone Emprit, Ismail Fahmi. Kepada detik.com, ia dengan keyakinan kuat menyebut bahwa tampilan sertifikat vaksinasi Presiden Jokowi “asli”.

"Menurut saya ini asli, karena memang bisa. Aplikasi ini memungkinkan orang bisa minta tolong siapapun download dari aplikasi PeduliLindungi kalau tahu nama, NIK, tanggal lahir, tanggal vaksinasi dan jenis vaksinasinya," ujar Ismail.

Awal 2021, kekhawatiran terhadap aplikasi PeduliLindungi juga dilontarkan oleh peneliti Citizen Lab yang beberapa kali juga vokal mengkritik spyware Pegasus buatan NSO Group asal Israel.

Lembaga riset keamanan siber dari Universitas Toronto di Kanada itu mengkritik bahwa PeduliLindungi terlalu banyak meminta data pengguna. Ini dikhawatirkan data-data tersebut berpotensi bocor.

Disebutkan, aplikasi PeduliLindungi mengumpulkan dan mengaitkan koordinat geolokasi pengguna dengan nama, nomor telepon, dan pengenal perangkat mereka. Aplikasi itu juga mengumpulkan alamat MAC WIFI dan alamat IP lokal pengguna, yang sebenarnya tidak diperlukan untuk membuat fitur utama aplikasi berfungsi. (Baca: Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko)

Mengapa tidak semua dilindungi?

Pernyataan Menkes Budi Gunadi yang mengatakan bahwa “saat ini data para pejabat pemerintah yang sensitif atau telah beredar di internet telah ditutup” adalah langkah reaktif, tanpa memikirkan perlindungan data masyarakat.

Seharusnya, bukan hanya para pejabat saja yang ditutup atau dilindungi, tapi seluruh masyarakat yang telah divaksin atau pengguna aplikasi PeduliLindungi wajib hukumnya dilindungi.

Seharusnya pemerintah sesegera mungkin memperbaiki keamanan pada akses informasi di PeduliLindungi. Dengan begitu, memutus cara orang lain mendapatkan informasi vaksinasi seseorang yang ditargetkan.

Misal, bisa saja hanya pembuat akun PeduliLindungi yang mengakses datanya atau ada mekanisme lain agar sesama anggota KK masih bisa saling mengakses karena tidak semua orang memiliki ponsel pintar.

Masyarakat sudah berupaya dan didesak untuk melindungi antarsesama dari virus corona dengan ikut program vaksin, sayangnya, data mereka ternyata kurang begitu “dipedulikan dan dilindungi” di PeduliLindungi. Lantas, siapa lagi yang peduli?[]