Kuasai Kredensial Login Aplikasi PCare BPJS Kesehatan, Staf Kelurahan Palsukan Sertifikat Vaksinasi Covid-19

Cyberthreat.id – Dua lelaki di Jakarta ditetapkan sebagai tersangka pemalsuan sertifikat vaksinasi Covid-19. Salah satu tersangka adalah staf kelurahan Kapuk Muara, Penjaringan, Jakarta Utara.

Tersangka yang berinisial HH (30) dan FH (23) menawarkan jasa melalui akun Facebook bernama Tri Putra Heru. Akun ini dikelola oleh FH, seorang karyawan swasta. HH yang ditangkap polisi pada 1 September lalu berperan menginput data “pelanggan” yang ingin membuat sertifikat vaksinasi palsu.

Sebagai staf kelurahan, HH diketahui memiliki akses berupa nama pengguna (username) dan kata sandi (password) aplikasi PCare BPJS Kesehatan. Sementara, FH yang lulusan SMA berperan mempromosikan dan menjaring “pelanggan” di akun Facebook

“Tersangka yang ditangkap ini memanfaatkan situasi masyarakat yang ingin mendapatkan sertifikat vaksin yang dapat dipergunakan untuk melakukan perjalanan maupun kunjungan ke tempat-tempat yang mewajibkan menggunakan aplikasi PeduliLindungi,” tutur Kapolda Metro Jaya Irjen Mohammad Fadil Imran dalam jumpa pers di Polda Metro Jayarta yang disiarkan di saluran YouTube, Jumat (3 September 2021).

Menurut Kapolda, HH memiliki pengetahuan bagaimana mendapatkan sertifikat vaksin. Yang dia dibutuhkan yaitu Nomor Induk Kependudukan (NIK) pembeli dan akses ke aplikasi PCare.

Pelanggan yang ingin mendapatkan sertifikat vaksin dikenai biaya sebesar Rp370.000 per sertifikat. Namun, dalam penelusuran polisi, dua pelanggan yang saat ini berstatus saksi, salah satunya membayar Rp500.000. Kedua pembeli ini, menurut Kapolda, sengaja memesan sertifikat vaksin palsu, tanpa divaksin dulu, karena ingin bebas bepergian.

Hingga saat ini, tersangka mengaku telah menjual sebanyak 93 sertifikat vaksin yang terhubung dengan aplikasi PeduliLindungi.

“Saat ini (penyidik) sedang mendalami 93 kartu vaksin yang sudah dipergunakan di PeduliLindungi agar bisa ditarik kembali. Penyidik juga sedang menyelidiki modus yang sama terjadi di tempat lain,” ujar Fadil.

Atas perbuatan tersebut, keduanya dijerat dengan Pasal 30 dan Pasal 32 UU ITE terkait dengan akses ilegal aplikasi dan pelanggaran informasi atau dokumen elektronik. Mereka terancam dipidana 6 tahun penjara dan denda maksimal Rp600 juta.

Berita Terkait:

• Sertifikat Vaksin Jokowi Beredar di Medsos, Platform PeduliLindungi Memungkinkan Cek Data Status Vaksin Orang Lain

Kuasai akses PCare

PCare atau Primary Care adalah aplikasi kesehatan yang dikembangkan oleh lembaga asuransi kesehatan negara, BPJS Kesehatan. Aplikasi berbasis web ini dirilis pada 2014 dan dipakai Fasilitas Kesehatan (Faskes) Tingkat Pertama, seperti puskesmas, untuk mendaftarkan peserta asuransi. Artinya aplikasi ini menghimpun tumpukan mahadata (big data) masyarakat yang memakai layanan asuransi, termasuk nama lengkap, NIK, dan informasi kesehatan peserta.

Aplikasi tersebut memang bukan diperuntukkan umum sehingga hanya puskesmas-lah yang memiliki kredensial login, seperti username dan password.

Di masa pandemi Covid-19, aplikasi PCare diperluas untuk mendata peserta vaksinasi. Pengembangan yang terbaru inilah yang terkoneksi ke aplikasi PeduliLindungi yang menerbitkan dan menyimpan data sertifikat digital vaksinasi Covid-19 dari masyarakat.

Kapolda mengatakan bahwa tersangka HH memiliki akses username dan password ke PCare sehingga bisa “membuat” sertifikat vaksin palsu.

“HH membuat sertifikat vaksin pada PCare BPJS yang terkoneksi dengan PeduliLindungi, tanpa memilih prosedur legal,” ujarnya.

Sayangnya, Fadil tak menjelaskan bagaimana HH bisa menguasai kredensial login tersebut.

Juru Bicara BPJS Kesehatan Iqbal Anas Ma’ruf ketik dikontak pada Jumat malam menolak untuk berkomentar terkait insiden akses ilegal tersebut.

Baca:

• Ini Penjelasan Pemerintah Terkait Sertifikat Vaksinasi Covid-19 Presiden Jokowi yang Tersebar di Twitter

Namun, sumber Cyberthreat.id, seorang petugas kesehatan di sebuah puskesmas di Bogor, Jawa Barat, memberikan gambaran tentang aplikasi tersebut.

Ia mengatakan, aplikasi PCare yang selama ini dipergunakan dalam pendaftaran pasien BPJS Kesehatan dipakai juga untuk pendataan vaksinasi Covid-19. Setiap puskesmas mendapatkan satu kredensial login dan dipakai oleh petugas yang ditunjuk.

Dalam proses vaksinasi di desa/kelurahan, kata dia, petugas puskesmas-lah yang menginput data penduduk yang telah mendapatkan suntik vaksin Covid-19. “Tidak ada petugas kelurahan/desa yang ikut terlibat dalam input data vaksinasi,” ujarnya.

Setelah diinput, data tersebut terkoneksi ke server aplikasi PeduliLindungi. Peserta vaksin selanjutnya, kata dia, bisa mengecek hasil sertifikat digital di PeduliLindungi.

Jika mekanisme menerbitkan vaksinasi seperti itu, lantas dari mana HH mendapatkan akses PCare?

Pada Sabtu (4 September), Cyberthreat.id mengontak Lurah Kapuk Muara, Yason Simanjuntak. Ia mengaku tak tahu-menahu bagaimana HH bisa memiliki akses ke aplikasi PCare.

Menurut dia, selama empat tahun bekerja sebagai pegawai kontrak di kelurahan, HH adalah orang yang baik, kerjanya pintar, dan jujur. HH yang hanya lulusan sekolah dasar, menurut Yason, bekerja di bagian tata usaha, membantu bagian administrasi.

Ditanya terkait bagaimana HH mengakses kredensial login aplikasi PCare, ”Saya tidak tahu karena itu di luar tugas daripada kelurahan,” ujarnya.

“Yang pasti di kelurahan tidak ada pencetakan kartu. Masalahnya kan pencetakan kartu. Di kelurahan enggak ada pencetakan kartu. Orang yang sudah vaksin, langsung men-download (sertifikat) di PeduliLindungi,” Yason menambahkan.

Per 2 September lalu, HH telah dikeluarkan dari kelurahan. Sejak kasus itu, Yason langsung mewanti-wanti agar stafnya tidak melanggar aturan.

Baca:

• BSSN Sebut Ada Anomali di Server BPJS Kesehatan, Penyelidikan Beralih ke Polri
• Vaksin.com Yakini Data yang Dijual di RaidForums ialah Data Peserta BPJS Kesehatan

PeduliLindungi menarik data PCare

Jika melihat mekanisme input data di aplikasi PCare, artinya aplikasi PeduliLindungi menarik dan mengonfirmasi semua data yang telah diinput petugas. Gambaran mekanisme ini dijelaskan oleh BPJS Kesehatan sendiri dalam siaran persnya pada Jumat (3 September).

Direktur Utama BPJS Kesehatan Ali Ghufron Mukti mengatakan lembaganya telah mengembangkan aplikasi PCare Vaksinasi Mobile. Aplikasi ini baru diuji coba di 10 Faskes Tingat Pertama untuk membantu percepatan vaksinasi Covid-19.

“Sebelumnya kami telah menciptakan aplikasi PCare Vaksinasi (versi web), lalu kami uji coba versi mobile-nya yang lebih ringkas. Petugas vaksinasi cukup menggunakan smartphone untuk mengakses aplikasi PCare Vaksinasi Mobile ini sehingga bisa dilakukan di segala medan, tidak memerlukan penyediaan komputer,” ujar Ghufron.

Aplikasi tersebut dirancang untuk membantu petugas vaksinasi melakukan pemeriksaan tiket selagi peserta menunggu giliran untuk divaksinasi. “Salah satu fitur yang tersedia pada aplikasi PCare Vaksinasi Mobile yaitu pengecekan tiket vaksinasi yang terintegrasi dengan sistem PeduliLindungi,” tuturnya.

Petugas juga dapat melihat status tiket peserta yang akan divaksinasi berdasarkan NIK. Fitur ini dapat digunakan untuk melihat riwayat vaksinasi Covid-19.

Selain itu, dalam aplikasi juga terdapat “fitur pendaftaran peserta vaksinasi dengan memanfaatkan NIK yang tervalidasi oleh data Dinas Dukcapil.”

Fitur lain adalah pencatatan pelaksanaan vaksinasi. Data yang tersimpan di di fitur ini mencakup hasil screening peserta, jenis vaksin yang diberikan, nomor batch vaksin, dan hasil observasi peserta.

“Aplikasi PCare Vaksinasi Mobile juga memiliki fitur untuk mengirimkan data pelaksanaan vaksinasi ke PeduliLindungi. Nantinya data tersebut dipergunakan untuk menerbitkan sertifikat vaksinasi di sistem PeduliLindungi,” jelas Ghufron.[]