Keamanan Data Pengguna PeduliLindungi Dipertanyakan, Ada Apa?
PerbesarADVERTISEMENT
Keamanan data pribadi pengguna PeduliLindungi menjadi sorotan Lembaga Studi dan Advokasi Masyarakat (ELSAM). Menurut lembaga tersebut, PeduliLindungi telah gagal menerapkan prinsip perlindungan data pribadi bagi penggunanya.
ADVERTISEMENT
Sorotan ELSAM terhadap keamanan data pribadi pengguna PeduliLindungi muncul tatkala aplikasi tracing COVID-19 tersebut mulai terintegrasi dengan aplikasi dari platform lain, seperti Gojek, Tokopedia, hingga Grab. Menurut ELSAM, integrasi tersebut memberikan “tanda tanya” perihal limitasi tujuan pengumpulan data pengguna yang inkonsisten.
“Perubahan tujuan penggunaan aplikasi ini dari yang semula untuk contact tracing dan tracking, lalu kemudian dikembangkan menjadi aplikasi multifungsi, juga telah memunculkan permasalahan serius,” kata ELSAM dalam keterangan resminya, Selasa (28/9).
“Praktik ini juga inkonsistensi dengan kebijakan privasi PeduliLindungi sendiri, yang menyatakan bahwa aplikasi tidak akan membagikan data ke pihak ketiga tanpa terlebih dahulu memperoleh persetujuan pengguna.”
ELSAM menjelaskan bahwa pemrosesan data aplikasi PeduliLindungi didasarkan pada dasar hukum kepentingan publik, yakni untuk penanganan pandemi. Meski demikian, lembaga advokasi itu mengingatkan bahwa penggunaan dasar hukum ini tidak mencakup pengungkapan/transfer data kepada pengendali lain di sektor publik.
ADVERTISEMENT
“Selain itu, pengendali data juga harus secara jelas menginformasikan pemrosesan datanya, mulai dari pemrosesnya, tujuan pemrosesan, data yang dikumpulkan, jangka waktu penyimpanan data, termasuk akses pihak ketiga terhadap data tersebut,” tegas ELSAM.
ELSAM juga mengkritik pengumpulan data pengguna yang sebenarnya tidak perlu. Dalam hal ini, mereka mempertanyakan permintaan aplikasi PeduliLindungi yang meminta akses media dan penyimpanan perangkat pengguna.
Menurut ELSAM, jika tujuan PeduliLindungi adalah untuk pelacakan pandemi, maka data yang dibutuhkan cukup nama, NIK, dan nomor telepon atau alamat email. Akses data tersebut juga mestinya hanya diminta saat aplikasi diberikan, dan bukan sepanjang waktu.
“Perubahan tujuan awal penggunaan aplikasi dari semula pelacakan lokasi, menjadi banyak fungsi, telah berdampak pada data yang dikumpulkan,” kata ELSAM.
ADVERTISEMENT
Selain tujuan pengumpulan data yang inkonsisten dan tidak sesuai dengan prinsip minimalisasi, ELSAM menyoroti laporan soal data pengguna PeduliLindungi yang dikirim ke server Telkom.
Pada akhir pekan lalu, ahli keamanan siber Teguh Aprianto menemukan bahwa data pengguna PeduliLindungi dikirim ke sebuah server analytic dengan domain analytic.rocks. Teguh menjelaskan bahwa domain tersebut berujung ke Blanja — platform e-commerce milik Telkom yang sudah tutup sejak September 2020.
“Walaupun kita tau Telkom terlibat sebagai pihak pengelola aplikasi PL, tapi atas kepentingan apa data tersebut dikirimkan langsung ke aset milik Telkom yg anonim ini?” kata Teguh dalam kicauan Twitter, Senin (26/9). kumparanTECH telah meminta izin kepada Teguh untuk menyematkan temuannya di Twitter ke dalam berita.
ADVERTISEMENT
Teguh menegaskan bahwa seharusnya data pengguna hanya berada di dalam ruang lingkup PeduliLindungi yang dikelola Kemenkes dan Telkom.
kumparanTECH telah meminta tanggapan Telkom dan Kementerian Komunikasi dan Informatika (Kominfo). Namun, keduanya belum memberikan tanggapan.
Kritik yang disampaikan ELSAM juga mencakup autentikasi aplikasi PeduliLindungi yang mudah dibobol. Mereka menyoroti celah autentikasi ini melalui kasus bocornya sertifikat vaksin Presiden Jokowi pada awal bulan ini.
“Kasus pengaksesan secara ilegal akun PeduliLindungi Presiden Joko Widodo, yang berhasil mendapatkan salinan sertifikat vaksin presiden, menunjukkan kerentanan pada sisi ini. Belum lagi problem ketidakakuratan data seperti kesalahan nama, tanggal lahir, NIK, informasi vaksin, dan sebagainya,” tutur ELSAM.
“Sementara pengguna tidak memiliki akses untuk memperbaiki data-data tersebut, sebagai implementasi dari hak untuk memperbaiki (rectification) dari subjek data.”
ADVERTISEMENT
Dengan sejumlah catatan permasalahan di atas, ELSAM menilai bahwa sulit menganggap penggunaan aplikasi PeduliLindungi telah dilakukan secara akuntabel, yang menghendaki bahwa seluruh prinsip perlindungan data pribadi dipatuhi.
Lembaga advokasi tersebut pun memberikan empat saran yang perlu dilakukan DPR dan pemerintah terkait masalah ini, yakni:
ADVERTISEMENT