Situs Penerima Vaksinasi Covid-19 Diduga Rentan Bug Melalui Api PeduliLindungi

Aplikasi-Website-Peduli-Lindungi-Covid-19

Baru-baru ini seseorang warganet menemukan kerentanan pada situs daftar penerima vaksinasi Covid-19 yang beralamatkan https://pedulilindungi.id. Temuan bug di situs pedulilindungi ini menjadi viral di sosial media terutama Twitter.

Co-Founder CommonLabs, Muhammad Mustadi, mengunggah hasil temuan tersebut di akun Twitter pada hari Jum'at (01/01/2021). Sebagai bahan uji coba, ia menginputkan NIK KTP milik Presiden Joko Widodo namun perlu disampaikan, KTP yang digunakan belum tentu asli kebenarannya sebab Mustadi sendiri mengatakan ia menemukan data KTP tersebut di Google.

"KTP Jokowi hasil Google search. Hasil scrape juga tidak menunjukkan data sensitif, atau bahkan memvalidasi NIK yang diberikan." unggahan Mustadi.

Artinya, input angka berapapun yang kita masukkan ke form NIK maka akan terpilih sebagai calon penerima vaksinasi Covid-19. Mustadi juga meyakinkan bahwa data dari API PeduliLindungi bukan penentu yang akurat bahwa kamu akan mendapatkan vaksin atau tidak. Ia juga menambahkan bahwa tidak ada kebobolan data apapun ini hanya literasi semata.

Sebelumnya, pemberitaan sudah viral terkait pemerintah yang akan meluncurkan bantuan calon penerima vaksin Covid-19 yang akan dibagikan secara gratis di tahun ini. Vaksinasi tahap pertama akan dimulai dari bulan Januari hingga April 2021. Namun, tahap pertama akan diisi oleh tenaga medis kesehatan, maka dari itu mereka yang terlibat dalam membantu kesehatan masyarakat diharuskan melakukan pengecekan dengan cara mengunduh aplikasi pedulilindungi di Play Store dan App Store.

Point Penting Menelusuri Bug Peduli Lindungi

  1. Captcha yang dimiliki oleh website Peduli Lindungi saat melakukan pengecekan daftar penerima vaksin Covid-19 tidak bekerja secara sempurna. Sementara itu, API yang digunakan juga dapat diakses secara langsung melalui token di client-side.
  2. Ketika API Peduli Lindungi menerima inputan user, maka akan dicek tanpa memastikan kepemilikan NIK sesungguhnya. Artinya, siapapun dapat melakukan menginputkan nomor berapapun asalkan dengan digit 16 angka, misalnya 333333333333333. Nomor NIK ini telah diuji cobakan oleh salah seorang netizen dan hebatnya lagi NIK ngasal tersebut terdaftar sebagai calon penerima vaksinasi.
  3. Ada beberapa endpoint yang ditemukan dan tidak di compile. Sementara itu, fitur souce map juga tidak dimatikan oleh developer jadi dampaknya akan menampilkan rahasia sumber lain yang ada di situs Peduli Lindungi.
Jika data alamat email dan NIK adalah asli. Kemungkinan besar yang akan terjadi adalah scammer dan spam email yang berujung phising dan tautan malware berbahaya.

Endpoint Situs Peduli Lindungi

GET /vaccine/v1/reference?nik=
POST /vaccine/v2/register
POST /vaccine/v1/reject
POST /vaccine/v1/verify
GET /vaccine/v1/hospital/schedules-period?hospitalId=
GET /vaccine/v1/symptoms
POST /vaccine/v1/symptoms

POST /vaccine/v1/dashboard/nik/status
GET /vaccine/v1/ticket
GET /vaccine/v1/ticket?vaccineId=
GET /vaccine/v1/certificates-detail?vaccineId=
GET /vaccine/v1/ticket
GET /vaccine/v2/hospital?longitude=&latitude=&size=999&page=1

Apa Itu PeduliLindungi?

Aplikasi Peduli Lindungi terbuat atas ditetapkannya Keputusan Menteri Kominfo Nomor 171 Tahun 2020 dengan bekerja sama antara Kominfo dan PT Telkom. Aplikasi ini memberikan informasi terkait warga negara yang terdaftar atau tidak terdaftar sebagai calon penerima vaksin gratis. Selain itu, Pedulilindungi juga dapat mengidentifikasi keberadaan orang berdasarkan jarak tertentu dengan pasien yang mengidap Covid-19. atau Orang Dalam Pengawasan (ODP).

Berikut tata cara melakukan cek NIK daftar penerima vaksin Covid-19 2021:
  1. Silahkan kunjungi laman situs resmi yang beralamatkan https://pedulilindungi.id/cek-nik
  2. Inputkan nomor NIK yang tersedia di KTP dan mengisinya di form Nomor NIK
  3. Masukkan kode captcha
  4. Klik tombol Selanjutnya
  5. Hasil akan ditampilkan, apakah kamu terdaftar sebagai calon penerima vaksinasi Covid-19 atau tidak.
Catatan: "Bila kamu terdaftar sebagai calon penerima vaksin Covid-19, nanti akan ada pemberitahuan SMS dari pihak Peduli Lindungi."

Bila kamu termasuk petugas tenaga medis kesehatan perlu melampirkan data lengkap seperti Nama, NIK, Alamat, No.HP, Tipe Nakes dan Surat Keterangan dari Kepala Fasyankes. Jika semua sudah lengkap silahkan kirimkan data tersebut ke email resmi vaksin@pedulilindungi.id. Ingat dan perhatikan domain secara baik-baik agar tidak salah mengirim.