Pedulilindungi banyak dikritik oleh pakar keamanan siber karena celah keamanannya. Apalagi semenjak sertifikat vaksinasi Presiden Joko Widodo (Jokowi) bocor, makin gegerlah netizen.
Awalnya, sejumlah influencer membahas perkara gambar sertifikat vaksinasi Presiden Jokowi. Di situ ada nama Ir Joko Widodo, kemudian NIK dan tanggal lahir, nomor ID vaksinasi, tanggal vaksinasi dan jenis vaksin dan batch vaksinasinya. Semua lengkap ada di sana.
detikINET pun mengonfirmasi hal ini kepada pakar medsos Ismail Fahmi, founder Drone Emprit dan Media Kernels Indonesia yang ikut memposting gambarnya. Menurut dia ini memang sertifikat asli.
"Menurut saya ini asli, karena memang bisa. Aplikasi ini memungkinkan orang bisa minta tolong siapapun download dari aplikasi PeduliLindungi kalau tahu nama, NIK, tanggal lahir, tanggal vaksinasi dan jenis vaksinasinya," ujar Ismail Fahmi.
Baca juga: Geger Kebocoran Sertifikat Vaksinasi Jokowi |
1. Langkah Pemerintah
Usai kejadian ini data Presiden Jokowi sudah ditutup. Kemenkes dan Kominfo mengurus integrasi data PeduliLindungi dan Pusat Data Nasional (PDN). BSSN memulihkan dan manajemen risiko keamanan siber.
"Migrasi tersebut meliputi migrasi sistem, layanan aplikasi, dan juga database aplikasi PeduliLindungi. Migrasi turut dilakukan terhadap Sistem Aplikasi SiLacak dan Sistem Aplikasi PCare," ujar Menkominfo Johnny G Plate.
Baca juga: Kominfo Blokir Situs PeduliLindungi Palsu |
2. 15 Celah Keamanan PeduliLindungi
Tapi ternyata masalahnya tidak sampai di situ saja. Forum Tata Kelola Internet Indonesia (Indonesia Internet Governance Forum/ID-IGF) mengumumkan hasil analisis mereka terhadap aplikasi PeduliLindungi. Setidaknya, ditemukan 15 masalah pada aplikasi ini yang harus segera diperbaiki.
"Rekomendasi dari ID-IGF ini semoga dapat menjadi bahan pertimbangan pembuatan keputusan untuk kemajuan bangsa," kata ID-IGF lewat keterangan tertulis yang diterima detikINET, Kamis (9/9).
Ada 10 masalah termasuk dalam sisi teknis seperti: PeduliLindungi mencantumkan 'Syarat Penggunaan' yang tidak menjamin layanannya selalu bisa diakses serta tidak menjamin data yang akurat dan aman, Kebijakan Kerahasiaan PeduliLindungi tidak menjamin keamanan data bila terjadi akses illegal, dan lain sebagainya.
Sementara sisanya ada pada masalah tata kelola. Paling pertama disebutkan bahwa aplikasi PeduliLindungi bersifat mandatory bagi masyarakat, tetapi tidak ada dalam daftar Penyelenggara Sistem Elektronik (PSE) resmi yang terdaftar di Kemenkominfo sebagaimana bisa dilihat di laman https://pse.kominfo.go.id/.
"Karenanya, aplikasi ini perlu segera didaftarkan sebagai PSE sehingga statusnya legal dan terpercaya," tulis laporan tersebut.