Ditemukan Kerentanan di Aplikasi PeduliLindungi, Pakar: Keamanan Datanya Terjamin Enggak?

Aplikasi PeduliLindungi

Cyberthreat.id – Pakar keamanan siber dari PT Vaksincom, Alfons Tanujaya menyayangkan aplikasi PeduliLindungi yang dibuat pemerintah untuk melacak mobilitas orang yang positif Covid-19, justru dipakai sebatas untuk pengumpulan data dari masyarakat.

Alfons mengatakan, pelacakan kontak orang-orang yang terkena Covid-19 tidak dilakukan pemerintah dengan PeduliLindungi.  

“Yang dilakukan hanya pengumpulan data saja. Jadi, data dikumpulkan tetapi tidak dimanfaatkan,” ujarnya saat berbincang dengan Cyberthreat.id, Minggu (3 Januari 2021).

Dalam konteks itulah, Alfons menilai apa yang dilakukan pemerintah, khususnya melalui PeduliLindungi sama saja dengan “pembohongan”.

Ia pun mempertanyakan implementasi atas data yang dikumpulkan oleh aplikasi dari permintaan izin akses data yang dimintanya.

"Harusnya data ini dibagikan Kementerian Kesehatan dan dilakukan tindakan yang diperlukan,” kata Alfons.

Sebelumnya, The Citizen Lab, lembaga riset yang mendukung hak-hak asasi manusia dari Unversitas Toronto, menilai aplikasi PeduliLindungi mengumpulkan terlalu banyak data dan meminta izin akses yang tidak memiliki korelasi dengan Covid-19. Izin akses yang diminta PeduliLindungi yakni lokasi, kamera, serta penyimpanan dianggap berisiko bagi keamanan dan privasi pengguna. (Baca: Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko)

Namun, Alfons sedikit berbeda pendapat dengan The Ciziten Labs dan mengatakan, permintaan izin akses “tidaklah berlebihan”.

“Data yang diminta memang diperlukan untuk menjalankan program Pembatasan Sosial Berskala Besar (PSBB) yang ideal,” ujarnya.

Namun, izin akses data yang diminta oleh PeduliLindungi itu dinilai Alfons, idealnya, dipakai untuk melakukan pemantauan pergerakan seluruh penduduk. Dengan begitu, orang positif Covid-19 dapat segera dilacak.

“Setiap kali ada yang kena Covid-19, bisa dilakukan tracing sehingga siapa saja yang pernah berkontak dengan orang tersebut mudah terdeteksi,” katanya.


Berita Terkait:


Jaminan keamanan data

Di sisi lain, Alfons menekankan agar pengembang PeduliLindungi harus perlu memberikan jaminan keamanan terhadap data, serta bukti bahwa mereka mampu mengelola data-data itu dengan baik.

"Jangan dikumpulkan saja, tetapi tidak mampu dijaga dan dikelola dengan baik. Yang ada malah masyarakat yang memberikan data jadi korban jika datanya bocor,” ujar dia.

Alfons juga menyinggung dengan temuan bahwa situs web aplikasi PeduliLindungi justru mengungkapkan basis data penggunanya. Ia menyarankan agar pengembang segera memperbaiki masalah tersebut. (Baca: Diuji Pakai 'NIK Jokowi', Peneliti Temukan Kerentanan pada API PeduliLindungi untuk Cek Penerima Vaksin)

Menurut dia, adanya temuan tersebut menunjukkan adanya ketidakmampuan dari pembuat aplikasi. “Programnya terkesan hanya untuk memenuhi syarat menyelesaikan program secara interface (tatap muka) yang keren saja, tetapi database-nya tidak terkoneksi dengan baik,” kata Alfons.

Situs web untuk memeriksa Nomor Induk Kependudukan (NIK) bagi penerima vaksin Covid-19 diibaratkan Alfons seperti “cowok ganteng, tapi bloon”. Tampilan bagus, tetapi fungsi database-nya kosong,” ujarnya.[]

Redaktur: Andi Nugroho