TEMPO.CO, Jakarta - Kepala lembaga riset keamanan siber, Communication and Information System Security Research Center (CISSReC), Pratama Persadha, menduga sindikat pembobol aplikassi PeduliLindungi bekerjasama dengan pihak-pihak yang diberi akses oleh Kementerian Kesehatan untuk melakukan update data di aplikasi tersebut. Sindikat yang diungkap oleh Kepolisian Daerah Jambi itu pun bisa memanfaatkan celah pada user alias operator ini.

"Hal seperti ini memang banyak ditemui, melakukan input data tidak sesuai prosedur," kata dia saat dihubungi, Senin, 25 April 2022.

Sebelumnya, polisi mengumumkan pengungkapan sindikat pembobol aplikasi PeduliLindungi.

"Sejauh ini sudah ada tujuh pelaku," kata Direktur Reserse Kriminal Khusus Polda Jambi Komisaris Besar Christian Tory dikutip dari Antara, 24 April 2022.

Christian mengatakan sindikat tersebut beroperasi di Jambi, Jawa Timur, Jawa Barat, Batam, Sumatera Utara, dan Jakarta. Pelaku disebut menawarkan pembuatan data sertifikat vaksin fiktif dengan bayaran Rp 600 ribu hingga Rp 1,5 juta.

Para sindikat ini menawarkan pembuatan sertifikat vaksin, di mana yang hasilnya terdata langsung ke aplikasi PeduliLindungi tanpa melakukan proses penyuntikan.

Kasus ini, kata Pratama, mirip dengan kejadian pemalsuan sertifikat vaksin yang terjadi beberapa waktu yang lalu. Di mana, seseorang bisa mendapatkan sertifikat vaksin palsu hantya dengan mengedit via aplikasi dan software saja.

Pratama menyebut ada tiga ancaman keamanan siber. Pertama dari pihak luar seperti malware hingga virus. Kedua yaitu sistem yang eror. Lalu, ketiga faktor human eror, baik yang disengaja maupun tidak disengaja.

Dalam hal vaksinasi, kata Pratama, tentu ada vaksinator yang bertugas memperbarui data ke sistem. Bisa dari pihak rumah sakit, klinik swasta, puskesmas, relawan, bahkan BUMN, TNI, dan Polri yang membantu percepatan vaksinasi.

Untuk itu dengan terbukanya kasus ini, Pratama menilai Kementerian Kesehatan harus bisa memperbaiki mekanisme input data ini. Memang dalam dunia keamananan siber, kata dia, doktrinnya adalah tidak ada sistem yang sepenuhnya aman 100 persen.

Oleh sebab itu, pemerintah harus melakukan pengawasan dan pengamanan 24 jam. Minimal, pemerintah melakukan penetration test berkala agar diketahui masa saja lubang keamanan baru di sistem PeduliLindungi.

Selain Pratama, pakar keamanan siber dari Vaksincom, Alfons Tanujaya, juga menyebut titik lemah pada kasus pembobolan aplikasi PeduliLindungi berada di operator yang menjalankannya.

"Jadi sindikat ini membuat sertifikat aspal dengan mengalami sistem PeduliLindungi," kata dia.

Menurut Alfons, ada dua cara logis yang bisa dilakukan pelaku. Pertama yaitu menggunakan joki untuk menggantikan orang yang membeli sertifikat. Cara seperti ini, kata dia, hanya bisa diatasi dengan kontrol yang baik di setiap pelaksanaan vaksinasi.

Wajah peserta vaksin dicocokkan dengan foto di KTP. Kalau ada kecurigaan, maka bisa dilakukan verifikasi lebih jauh dan ditindak tegas kalau melanggar.

Cara kedua yaitu pelaku bekerja sama dengan orang dalam untuk mengeluarkan sertifikat. Untuk menanganinya, kata Alfons, memang harus dicari siapa yang bekerja sama mengakali database dan ditindak sesuai ketentuan hukum.

Tempo mengkonfirmasi kepada Siti Nadia Tarmizi, juru bicara pemerintah untuk vaksinasi Covid-19 terkait pengungkapan sindikat pembobol aplikasi PeduliLindungi ini. Siti yang juga menjabat sebagai Direktur Pencegahan dan Pengendalian Penyakit Menular Kementerian Kesehatan belum memberikan jawaban lengkap, karena ingin menelusurinya terlebih dahulu.

"Sebentar dicek ya," kata dia.