Diakses 26 Juta Orang, Kominfo Sebut Aplikasi PeduliLindungi sebagai SuperApps
Aplikasi PeduliLindungi | Foto: PeduliLindungi
Cyberthreat.id – Direktur Jenderal Penyelenggaraan Pos dan Informatika Kementerian Komunikasi dan Informatika Ahmad M. Ramli menyebut bahwa aplikasi PeduliLindungi saat ini bisa digolongkan sebagai “SuperApps”.
“Sekarang luar biasa Pak Menteri. Dalam tiga hari ini diakses tidak kurang dari 26 juta orang dan masuk sebagai SuperApps. Itu tidak lain karena masuk ke dalam aplikasi untuk vaksin,” ujar Ramli.
Ramli memaparkan hal itu dalam rapat virtual Kementerian Kominfo bertema "Menkominfo Menyapa: Indonesia Terkoneksi, Semakin Digital Semakin Maju" di Jakarta, Senin (4 Januari 2021).
Ramli mengharapkan ada 180 juta orang (target calon penerima vaksin) bisa mengakses aplikasi PeduliLindungi. “Dan, ini akan menjadi apps terbesar, menurut kami, di bidang penanganan Covid-19,” tutur dia.
PeduliLindungi adalah aplikasi pelacak orang yang terinfeksi Covid-19 berbasis Bluetooth, seperti halnya TraceTogether yang diterapkan di Singapura. Aplikasi tersebut dapat diunduh di Google Play Store dan AppStore.
“Aplikasi ini mengandalkan partisipasi masyarakat untuk saling membagikan data lokasinya saat bepergian agar penelusuran riwayat kontak dengan penderita Covid-19 dapat dilakukan,” demikian dalam situs webnya.
Berita Terkait
- Ditemukan Kerentanan di Aplikasi PeduliLindungi, Pakar: Keamanan Datanya Terjamin Enggak?
- PeduliLindungi Tak Jamin Aplikasinya Aman dan Bebas dari Kerusakan
Cara kerja aplikasi
PeduliLindungi menggunakan data yang diproduksi oleh ponsel pintar dengan Bluetooth aktif untuk merekam informasi yang dibutuhkan.
Ketika ada gawai lain lain dalam radius Bluetooth yang juga terdaftar di PeduliLindungi, akan terjadi pertukaran identitas anonim yang akan direkam oleh gawai masing-masing.
PeduliLindungi selanjutnya akan mengidentifikasi orang-orang yang pernah berada dalam jarak dekat dengan orang yang dinyatakan positif Covid-19. Hal ini akan sangat membantu ketika orang tersebut tidak dapat mengingat riwayat perjalanan dan dengan siapa saja dia melakukan kontak.
"PeduliLindungi sangat memperhatikan kerahasiaan pribadi Anda. Data Anda disimpan aman dalam format terenkripsi dan tidak akan dibagikan kepada orang lain. Data Anda hanya akan diakses bila Anda dalam risiko tertular Covid-19 dan perlu segera dihubungi oleh petugas kesehatan," demikian tertulis di situs webnya.
Namun, belum lama ini, The Citizen Lab, lembaga riset yang mendukung hak-hak asasi manusia dari Unversitas Toronto, menilai PeduliLindungi mengumpulkan terlalu banyak data dan meminta izin akses yang tidak memiliki korelasi dengan Covid-19.
Izin akses yang diminta PeduliLindungi yakni lokasi, kamera, serta penyimpanan dianggap berisiko bagi keamanan dan privasi pengguna. (Baca: Bisa Cek Penerima Vaksin, Citizen Lab Ungkap Aplikasi PeduliLindungi Terlalu Banyak Minta Akses Data Berisiko)
Tak hanya itu, peneliti keamanan siber juga co-founder Commonlabs.id, Muhammad Mustadi mengungkapkan adanya kerentanan pada antarmuka pemograman aplikasi (API) situs web PeduliLindungi yang digunakan untuk mengecek daftar calon penerima vaksin Covid-19.
Mustadi mengunggah temuannya itu di Twitter pada Jumat (1 Januari 2020) malam. Ada tiga kerentanan yang ditemukannya.
Pertama, CAPTCHA yang dipakai pada saat pengecekan Nomor Induk Kependudukan (NIK) calon penerima vaksin tidak benar-benar bekerja.
Menurut Mustadi, API penerima vaksin tersebut bisa langsung diakses dengan token yang di-hard-coded di sisi client.
Kedua, API pada situs web PeduliLindungi dapat melakukan penerima pengecekan NIK tanpa ada verifikasi kepemilikan. Dengan kata lain, asal memenuhi syarat 16 angka (berdasarkan jumlah angka nomor NIK, maka akan dianggap benar oleh sistem).
Menurut dia, string apa pun bisa dimasukkan, tanpa perlu 16 digit angka dengan format AAAA AADD MMYY XXXX (A: kode daerah, DD: tanggal lahir, MM: bulan lahir, YY: tahun lahir, XXXX: kode unik).
Ketiga, karena fitur source map tidak dimatikan, ada beberapa endpoints lain dan kode sumber yang tidak di-compile dan mengandung rahasia.
Menurut Mustadi kerentanan ini dapat dimanfaatkan oleh penjahat siber untuk melakukan blackmail dan scam kepada para calon penerima vaksin.
Namun, sejauh ini pemerintah belum menanggapi terhadap kerentanan tersebut. Cyberthreat.id telah berupaya meminta tanggapan, tapi tidak ada tanggapan.
Tanggapi soal phishing dan malware
Hanya, di situs webnya, Kementerian Kominfo sebagai penanggung jawab aplikasi PeduliLindungi menanggapi isu di media sosial yang menyatakan aplikasi ini rawan phishing dan malware dan bisa mencuri data pribadi.
“Itu tidak benar,” ujar Juru Bicara Kementerian Kominfo Dedy Permadi di Jakarta, Minggu (3 Januari).
Menurutnya, aplikasi PeduliLindungi dijamin aman dengan Keputusan Menteri Kominfo No 171 Tahun 2020 yang melengkapi keputusan sebelumnya, yakni Keputusan Menteri Kominfo No. 159 Tahun 2020 tentang Upaya Penanganan Corona Virus Disease (Covid-19) melalui Dukungan Pos dan Informatika.
"Keputusan Menteri tersebut bersifat khusus dan juga untuk memberikan jaminan perlindungan data pribadi yang sesuai dengan perundang-undangan. Oleh karena itu, Kementerian Kominfo mengingatkan masyarakat agar tidak percaya dengan isu yang beredar dan mengajak untuk menginstal PeduliLindungi," ujar dia.[]
