BARISAN.CO – Aplikasi PeduliLindungi saat ini menjadi syarat di sejumlah fasilitas publik selama masa pandemi Covid-19. Bahkan aplikasi tersebut juga diwacanakan akan menjadi aplikasi pembayaran digital.
Namun belakangan, aplikasi PeduliLindungi diduga mengalami kebocoran data pengguna, beberapa praktisi teknologi informasi mengungkapkan adanya dugaan pengiriman data PeduliLindungi ke luar server aplikasi yang tidak semestinya.
Data pengguna itu diduga disalurkan ke sebuah domain yang alamatnya ada hubungannya dengan situs Blanja, anak perusahaan Telkom. Publik pun mempertanyakan untuk apa data tersebut?
Analisis Security Engineer, Yahya F. Al Fatih, melalui video Youtubenya mengungkapkan ada dua anomali yang ditemukan. Pertama aplikasi menyimpan data perangkat secara manual, kedua data itu diduga dikirimkan ke website aneh di luar Indonesia.
Rasa penasaran Yahya untuk menganalisis data PeduliLindungi ini muncul tatkala ada seseorang di Twitter menanyakan mengapa aplikasi ini membutuhkan data riwayat pencarian dan riwayat browser para penggunanya. Untuk itulah ia melakukan analisis static dan dynamic untuk melihat cara aplikasi tersebut bekerja.
Keanehan pun muncul. Yang pertama adalah tentang mengapa aplikasi mengirim data pengguna secara manual ke data base di luar vendor PeduliLindungi. Isi dari data tersebut kurang lebih adalah nama, event, waktu kapan login, nama perangkat, memori perangkat, sistem operasi perangkat, versi aplikasi, operator seluler. Dan menurut Yahya pada kenyataannya aplikasi tersebut berencana merekam data lebih dari itu.
“Tapi pada kenyataannya mereka berencana merekam bukan data itu aja, data ini juga: negara; kota; longitude; latitude; activity1; activity2; activity3; custom1; custom2; custom3; email; nama; telepon; jenis kelamin; alamat ip,” kata Yahya dikutip, Selasa (28/9/2021).
Yahya menjelaskan mengapa perekaman data secara manual ini disebut anomali. Soalnya, kata dia kalau berkaitan dengan aktivitas user, PeduliLindungi sudah memiliki vendor penyimpan data analisis dari vendor http://app-measurement.com dan crashlytic. “Jadi buat apa kirim manual pada aktifitas tersebut?” kata Yahya.
Yahya mengirimkan sebuah gambar data yang berencana direkam itu. Namun kata dia hal itu baru sekadar rencana, sebab dari yang terlihat di gambar, data yang tertulis ‘-/n’ itu artinya kosong. “Aku enggak paham kalau data yang kosong itu beneran mereka rekam atau tidak.”
Keanehan tak berenti sampai situ. Data yang sudah direkam atau berencana direkam itu menurut Yahya ternyata dikirim ke website track.analytic.rocks. “Kira-kira kalau digambarkan ada trusted network yang jelas punya vendor PeduliLindungi, dan ada track.analytic.rocks yang ini enggak jelas punya siapa.”
Dan ternyata dari hasil analisa Yahya, domain track.analytic.rocks itu berhubungan dengan Blanja, situs e-commerce yang pernah dibuat Telkom bekerja sama dengan perusahaan e-commerce raksasa asal Amerika Serikat eBay.
“Tepatnya domain track.analytic.rocks itu ada hubungannya sama Blanja di mana vendornya adalah anak Telkom.”
Hal senada juga disampaikan oleh Teguh Apriyanto, seorang Cyber Security Researcher & Consultan, melalui akun twitternya @secgron dia mengungkapkan terlihat ada hubungan antara analytic.rocks ini dengan alamat store.indihome.co.id.
Berdasarkan informasi yang ada, Teguh menyimpulkan ini adalah web app analytics milik Telkom yang dipakai untuk menampung data dari berbagai unit bisnis Telkom.
Teguh pun mengkritisi Telkom dari temuan ini. Menurutnya masyarakat “dipaksa”; untuk menggunakan PeduliLindungi, dengan jaminan data yang dikumpulkan dari aplikasi tersebut hanya dipakai untuk keperluan PeduliLindungi.
