PeduliLindungi Tak Jamin Aplikasinya Aman dan Bebas dari Kerusakan

Cyberthreat.id - Aplikasi PeduliLindungi tengah menjadi sorotan publik lantaran fitur “CAPTCHA” situs webnya tak berfungsi dengan baik hingga dianggap melakukan pengumpulan data yang berlebihan. (Baca: Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko

Aplikasi ini digunakan oleh instansi pemerintah Indonesia untuk kepentingan pelacakan dan penghentian penyebaran Covid-19 di Indonesia.

Namun, pakar keamanan siber dari PT Vaksincom, Alfons Tanujaya menyayangkan aplikasi tersebut kini sebatas pengumpulan data.

Pertengahan April 2020, pemerintah mengklaim bahwa aplikasi PeduliLindungi aman dari serangan siber seperti phishing dan malware. Namun, tak pernah menjelaskan bagaimana jaminan keamanan data pengguna yang dikumpulkan.

Padahal, di situs webnya disebutkan, diakses Minggu (3 Januari 2021), di halaman “Persyaratan dan Ketentuan, pengembang dengan sangat jelas menulis: “PeduliLindungi berkomitmen terhadap privasi Anda.”

Dengan temuan kerentanan di fitur “CAPTCHA” yang tidak berfungsi semestinya, hal itu menunjukkan pengembang sembrono dalam membuat situs web. (Baca: Diuji Pakai 'NIK Jokowi', Peneliti Temukan Kerentanan pada API PeduliLindungi untuk Cek Penerima Vaksin

Alfons sendiri menjuluki situs web itu seperti “cowok ganteng, tapi bloon.” (Baca: Ditemukan Kerentanan di Aplikasi PeduliLindungi, Pakar: Keamanan Datanya Terjamin Enggak?)

Ketika seseorang mengunduh aplikasi, sistem pengembang akan meminta persetujuan pengguna untuk “mengaktifkan data lokasi untuk memberi informasi terkait zonasi dan area karantina mandiri.”

"Dengan kondisi lokasi aktif, maka secara berkala aplikasi akan melakukan identifikasi lokasi Anda serta memberikan informasi terkait keramaian dan zonasi,” tulis PeduliLindungi.

Dalam pembacaan Cyberthreat.id di “Persyaratan & Ketentuan”, terdapat sejumlah poin yang perlu digarisbawahi dan menjadi catatan pengguna.

Pertama, “PeduliLindungi memuat beberapa tautan ke aplikasi atau website milik pihak ketiga, yang mungkin akan mengambil dan mengolah data Anda. PeduliLindungi tidak memiliki akses terhadap data atau informasi yang Anda berikan kepada aplikasi atau website tersebut,” tulis PeduliLindungi.

Di bagian tersebut, tampak jelas bahwa data pengguna PeduliLindungi dibagikan ke pihak ketiga dan pemerintah tidak memiliki sikap terbuka kepada publik: kepada siapakah pihak ketiga yang mengakses data pengguna?

Kedua, Telkom, perusahaan pelat merah milik negara ini ditunjuk sebagai pengembang aplikasi, juga menegaskan, tidak bertanggung jawab atas setiap kerugian yang timbul yang diakibatkan karena ketidakmampuan atau kegagalan Anda untuk menggunakan/mengakses PeduliLindungi.

“Kami juga tidak menjamin bahwa PeduliLindungi tidak akan terganggu, tepat waktu, aman, bebas dari kesalahan atau bebas dari virus atau kode invasif ataupun hal-hal yang merusak lainnya," tulis pengembang di bagian "Pembatasan Tanggung Jawab" poin 2 huruf b.

Ketiga, selain itu, pengembang juga sudah membuat pernyataan disclaimer lain.

“Kami tidak bertanggung jawab atas setiap kerugian yang timbul yang diakibatkan karena adanya pelanggaran atau akses tidak sah terhadap PeduliLindungi,” tulis pengembang.

Berita Terkait:

• BSSN Rutin Cek Keamanan Aplikasi PeduliLindungi
• Ini Hasil Evaluasi BSSN terhadap Aplikasi Covid-19 PeduliLindungi
• Gawat, Ada Aplikasi PeduliLindungi Palsu Bermuatan SpyNote dan Mencuri Data
• Telkom Klaim Bekerja 24 Jam Periksa Log Amankan Aplikasi PeduliLindungi

Pengumpulan data

Pada saat pengguna registrasi pada PeduliLindungi, terdapat beberapa data yang akan disimpan yaitu nomo ponsel, lokasi, serta waktu saat terjadi pertukaran data.

Data-data yang diambil dan disimpan di dalam ponsel, antara lain:

• MAC address pengguna yang terekam oleh pengguna PeduliLindungi lainnya yang sama-sama mengaktifkan bluetooth.
• User ID pengguna yang didapat ketika registrasi.
• Lokasi pengguna pada saat terjadi pertukaran data.
• Waktu pada saat kontak terjadi.
• Durasi selama kontak terjadi.

Pengembang PeduliLindungi mengklaim tidak mengambil data pengguna berupa daftar kontak di ponsel.

“Data-data tersebut akan disimpan sementara di penyimpanan lokal ponsel Anda secara terenkripsi dan akan dikirim ke server secara berkala. Setelah data dikirim ke server, data yang tersimpan di penyimpanan lokal ponsel Anda akan dihapus saat itu juga,” tulis pengembang.

“Data-data tersebut disimpan secara terenkripsi di server PeduliLindungi yang aman dan tidak dibagikan ke publik. Data Anda hanya akan diakses bila Anda dalam risiko tertular COVID-19 dan perlu segera dihubungi oleh petugas kesehatan.”

Di sisi lain, pengembang juga mengklaim tidak dapat mengambil dan membagikan data tanpa persetujuan pengguna.

Penghapusan data

PeduliLindungi tidak memberikan secara jelas bagaimana ketentuan dan prosesnya jika ada pengguna yang mengajukan penghapusan data.

Hanya tertulis, “Anda dapat meminta penghapusan data di server melalui email ke pedulilindungi@kominfo.go.id,” demikian tulis.

"Kami akan menghentikan perekaman data dan menghapus data Anda dari server setelah email permintaan kami terima.”

Namun, pada poin selanjutnya, penghapusan data pengguna dinyatakan akan dilakukan setelah pandemi dinyatakan berakhir. Hanya, data kontak Bluetooth yang akan dihapus secara berkala setelah data dikirim ke server setiap hari.

Di sisi lain, pengembang juga mengklaim. bahwa “Jika pengguna menghapus aplikasi, data akan ikut terhapus,” tutur pengembang.

Tak ada kejelasan dalam penghapusan data: apakah itu data seluruh atau sebagian? Apakah dengan menghapus aplikasi, selurh data pengguna terhapus?

Bagaimana jika selama pandemi masih belum berakhir, apakah seseorang bisa mengajukan proses penghapusan melalui email tersebut? Sebab, dalam pernyataan lain, penghapusan seluruh data pengguna baru bisa dilakukan setelah pandemi berakhir.[]

Redaktur: Andi Nugroho