TEMPO.CO, Jakarta - Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menilai titik lemah pada kasus pembobolan aplikasi PeduliLindungi berada di operator yang menjalankannya. Bukan aplikasi yang lemah, kata dia, tetapi manusia di belakang aplikasi ini yang tidak benar.
"Jadi sindikat ini membuat sertifikat aspal dengan mengakali sistem PeduliLindungi," kata dia saat dihubungi, Senin, 25 April 2022.
Sebelumnya, polisi mengumumkan pengungkapan sindikat pembobol aplikasi PeduliLindungi. Christian mengatakan sindikat tersebut beroperasi di Jambi, Jawa Timur, Jawa Barat, Batam, Sumatera Utara, dan Jakarta
"Sejauh ini sudah ada tujuh pelaku," kata Direktur Reserse Kriminal Khusus Polda Jambi Komisaris Besar Christian Tory dikutip dari Antara, 24 April 2022.
Pelaku disebut menawarkan pembuatan data sertifikat vaksin fiktif dengan bayaran Rp 600 ribu hingga Rp 1,5 juta. Para sindikat ini menawarkan pembuatan sertifikat vaksin, di mana yang hasilnya terdata langsung ke aplikasi PeduliLindungi tanpa melakukan proses penyuntikan.
Menurut Alfons, ada dua cara logis yang bisa dilakukan pelaku. Pertama yaitu menggunakan joki untuk menggantikan orang yang membeli sertifikat. Cara seperti ini, kata dia, hanya bisa diatasi dengan kontrol yang baik di setiap pelaksanaan vaksinasi.
Wajah peserta vaksin dicocokkan dengan foto di KTP. Kalau ada kecurigaan, maka bisa dilakukan verifikasi lebih jauh dan ditindak tegas kalau melanggar.
Cara kedua yaitu pelaku bekerja sama dengan orang dalam untuk mengeluarkan sertifikat vaksin. Untuk menanganinya, kata Alfons, memang harus dicari siapa yang bekerja sama mengakali database dan ditindak sesuai ketentuan hukum.
Meski demikian, Alfons menilai pemerintah tetap harus membuat sistem dan prosedur yang ketat pada sistem aplikasi PeduliLindungi ini. Contohnya dengan menambahkan foto diri peserta vaksin pada saat vaksinasi dan diunggah ke aplikasi.
Jika terbukti tidak sesuai, maka sertifikat dicabut dan dikenai tindakan hukum terhadap pelaku vaksinasi bodong, maupun jokinya. Menurut Alfons, titik lemah memang ada di manusianya.
Baik yang melakukan pemasukan data atau yang tidak melindungi kredensial dengan baik. "Tetapi, keterlibatan orang dalam memang harus diselidiki pihak berwenang," kata Alfons.
Ini bukanlah kasus pertama terkait keamanan siber yang terjadi pada aplikasi PeduliLindungi. Pada 3 September 2021, penyidik Direktorat Reserse Kriminal Khusus Polda Metro Jaya mengumumkan penangkapan dua orang tersangka berinisial HH dan FH yang menjual sertifikat vaksinasi palsu di aplikasi Pedulilindungi.
Modus operandi para tersangka dengan membobol masuk ke dalam sistem aplikasi tersebut dan menginput data pemesan sertifikat palsu tersebut. "HH ini bekerja sebagai staf tata usaha di Kelurahan Muara Karang. Dia punya akses ke aplikasi tersebut," ujar Kapolda Metro Jaya Inspektur Jenderal Mohammad Fadil Imran di kantornya, Jakarta Selatan.
Sebelum pengumuman polisi ini, kasus kebocoran data di aplikasi PeduliLindungi lebih dulu terjadi. Di mana, data pribadi Presiden Joko Widodo atau Jokowi tersebar di media sosial setelah seorang warganet dengan akun Twitter @huftbosan mengunggahnya. Dalam tangkapan layar yang ia unggah, tampak NIK Jokowi, QR Barcode sertifikat vaksin, hingga tanggal lahir.
Dalam keterangannya, pengunggah mengatakan Jokowi telah mendapatkan vaksinasi dosis ketiga. Hal ini disebabkan munculnya kolom ketiga dalam laman tersebut. Namun di kolom tersebut tidak tampak sertifikat vaksin Jokowi seperti di kedua kolom lainnya. "Presiden udah vaksin ketiga lho," tulis akun tersebut.
Kebocoran diduga berasal dari aplikasi PeduliLindungi. Sehingga, Menteri Kesehatan Budi Gunadi Sadikin memutuskan menutup data para pejabat di aplikasi Pedulilindungi. "Sekarang sudah dirapikan, data para pejabat ditutup," kata Budi pada 3 September 2021.
Dalam kejadian ini, Budi mengaku bukan hanya NIK Jokowi saja yang tersebar luas di Pedulilindungi. Tetapi juga data para pejabat lainnya. Hal ini terjadi karena sistem yang masih dalam tahap penyempurnaan.
"Kami menyadari itu. Nah, sekarang kami akan tutup untuk beberapa pejabat yang sensitif, yang memang beberapa data pribadinya sudah terbuka akan kami tutup," kata Budi Gunadi.
Tempo mengkonfirmasi kepada Siti Nadia Tarmizi, juru bicara pemerintah untuk vaksinasi Covid-19 terkait pengungkapan sindikat pembobol aplikasi PeduliLindungi ini. Siti belum memberikan jawaban lengkap, karena ingin menelusurinya terlebih dahulu. "Sebentar dicek ya," kata dia.
Baca: Polisi Ungkap Sindikat Pembobol Aplikasi PeduliLindungi