Masuk tirto.id
tirto.id - Situs PeduliLindungi dilaporkan disusupi iklan situs judi online (judol), Selasa (20/5/2025). Kejadian ini menimbulkan kekhawatiran publik terkait keamanan data yang tersimpan di dalamya. Bagaimana tidak, aplikasi dan situs berbasis kesehatan milik pemerintah tersebut menjadi mandatory untuk beraktivitas kala Pandemi Covid-19 merebak.
Sejumlah warganet di platform media sosial X beramai-ramai melaporkan temuan iklan judol di situs PeduliLindungi, 20 Mei 2025. Di media sosial bahkah beredar rekaman video yang memperlihatkan nampak website pedulindungi.id berubah menjadi situs judi online bernama PLANETBOLA88 ketika diklik.
Di tengah polemik tersebut, baik Kementerian Kesehatan (Kemenkes) maupun Telkom –yang sempat menjadi pengelola platform– menyatakan bahwa mereka sudah tidak lagi mengelola aplikasi tersebut. Publik pun bertanya-tanya, “siapa yang sebenarnya bertanggung jawab atas insiden ini?”
Pemerintah meluncurkan situs PeduliLindungi pada masa Pandemi Covid-19. Perangkat berbasis aplikasi di gawai ini hadir sebagai upaya memutus rantai penyebaran virus Corona.
Pada tahun 2022, Kementerian Kesehatan (Kemenkes) mengatakan PeduliLindungi telah memiliki lebih dari 95 juta orang pengguna dengan jumlah pengakses aktif harian sekitar 8 juta orang. Mengingat Pandemi Covid-19 baru mereda pada akhir tahun 2023, kemungkinan data masyarakat dalam platform itu lebih besar dari 95 juta.
Awal tahun 2023, terjadi transformasi. Aplikasi PeduliLindungi berubah menjadi aplikasi kesehatan masyarakat, SatuSehat. Platform ini digadang-gadang akan menyediakan lebih banyak fitur kesehatan yang bermanfaat untuk masyarakat.
Namun, dua tahun tak terdengar, malah kejadian penyusupan situs judol yang mengiringi situs PeduliLindungi.
Kemenkes kemudian merespons kejadian ini. Kepala Biro Komunikasi dan Informasi Publik Kemenkes, Aji Muhawarman, menjelaskan pihaknya sudah tidak mengelola situs PeduliLindungi lagi. Situs tersebut kini dikelola oleh PT Telkom Indonesia, seiring dengan transformasi menjadi platform SatuSehat.
"Jadi, SatuSehat –sejak berubah dari PL (PeduliLindungi) per Maret 2023– otomatis pengelolaan, termasuk urusan keamanan, seluruhnya berikut website, juga tidak di Kemenkes lagi, dan dikelola oleh pihak lain," kata Aji, mengutip Antara, Selasa (20/5/2025)
Namun, dalam laporan terpisah yang dimuat Kompas.com, PT Telkom Indonesia, juga menyatakan bahwa mereka telah berhenti mengelola aplikasi dan database platform itu sejak tahun 2023. AVP External Communication Telkom, Sabri Rasyid, menjelaskan bahwa keterlibatan Telkom berakhir seiring selesainya kontrak pengembangan dan pengoperasian dengan Kemenkes.
"Seiring dengan sosialisasi perubahan pemanfaatan PeduliLindungi ke SatuSehat, maka Telkom secara otomatis juga telah melepas kepemilikan domain website PeduliLindungi.id per tanggal 28 Maret 2024 ke domain registrator," ujar Sabri saat dihubungi secara terpisah oleh Kompas.com, Rabu (21/5/2025).
Oleh karenanya, Sabri mengatakan, data di situs PeduliLindungi juga sudah semuanya diserahkan ke Kemenkes. "Jadi, begitu aplikasi dan database diserahkan ke Kemenkes, di Telkom sudah kosong. Domain saja yang tersisa. Isinya kosong," lanjut dia.
Menindaklanjuti penyusupan situs PeduliLindungi, Kementerian Komunikasi dan Digital (Kemkomdigi) lantas melakukan tindakan pemutusan akses (take down) terhadap situs web PeduliLindungi.id.
“Tindakan ini diambil menyusul adanya laporan masyarakat mengenai munculnya konten perjudian online dalam website tersebut,” kata Direktur Jenderal Pengawasan Ruang Digital Kemkomdigi, Alexander Sabar, Rabu (21/5/2025) dikutip dari Portal Informasi Indonesia.
Alexander menjelaskan, berdasarkan hasil verifikasi dari laporan yang mereka terima lengkap dengan tautan dan tangkapan layar, situs yang pernah digunakan pemerintah untuk penanganan wabah Covid-19 itu terbukti disusupi konten judi online.
Berdasarkan pantauan Tirto, pada Jumat (24/5/2025) sore, situs https://pedulilindungi.id/ memang telah tak bisa diakses. Komdigi memastikan situs tersebut melanggar aturan keamanan informasi.
Bukan Kali Pertama
Insiden peretasan situs PeduliLindungi.id yang belakangan disusupi iklan judi online sejatinya bukanlah kasus pertama. Praktik penyusupan konten judi ke situs resmi milik pemerintah sudah pernah terjadi berulang kali dalam beberapa tahun terakhir—dan jumlahnya tidak sedikit.
Dalam waktu hampir bersamaan akun media sosial X resmi milik Komisi Pemilihan Umum (KPU) RI diduga diretas. Rabu (21/5/2025) dini hari, bio akun bercentang resmi milik KPU menyertakan sebuah situs bernama http://mahaze.art/id-id disertai tulisan “LINK DAFTAR DI BIO”.
Tirto mencoba menelusuri situs tersebut, namun per Kamis (22/5/2025) pagi situs tersebut tidak bisa diakses lagi. Situs tersebut terindikasi kuat merupakan situs yang terafiliasi dengan judi online, sebab bunyi cuitannya mengarahkan akses ke situs judol.
"Kalian jangan meributkan tentang ijazah, saya membenarkan itu dan juga anggota komisioner KPU. Daripada kalian meributkan hal seperti itu, mending kalian bermain di website MAHAZEUS," demikian tulis peretas di akun X @KPU_ID.
Anggota Komisioner KPU, August Mellaz, menyebutkan bahwa pihaknya berupaya mengatasi pembajakan akun X resmi lembaganya tersebut. Badan Siber dan Sandi Negara (BBSN) turut dilibatkan. Berdasarkan pantauan Tirto, pada Jumat (23/5/2025) akun X milik KPU RI itu telah pulih dan kembali normal.
Ironisnya, dua kasus penyusupan situs terkait pemerintah teranyar, terjadi kala pemerintah tampil galak memerangi judi online.
Pada Mei 2024, sempat juga 19 situs Badan Pengawas Pemilu (Bawaslu) kabupaten dan kota di Jawa Timur dilaporkan telah diretas dan diisi dengan iklan judi daring. Jumlah tersebut hampir setara dengan setengah dari total 38 daerah di Jatim.
Nahas, peristiwa ini terjadi hanya beberapa bulan menjelang hari pencoblosan Pemilu 2024. Hal ini menjadi penanda rentannya sistem digital pemerintahan bahkan dalam momen-momen krusial demokrasi.
Lebih luas lagi, data dari Kementerian Komunikasi dan Informatika (Kominfo)—sekarang bernama Kementerian Komunikasi dan Digital (Komdigi)—menunjukkan bahwa sejak 2022 hingga Mei 2024, lebih dari 20 ribu situs instansi pemerintahan dan sekitar 17 ribu situs lembaga pendidikan telah diblokir karena mengandung konten judi daring. Rangkaian kejadian peretasan dan penyusupan situs judol menggambarkan masifnya skala ancaman dan lemahnya kesiapan infrastruktur keamanan digital di sektor publik.
Siapa yang Harus Tanggung Jawab?
Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menyayangkan respons pemerintah terhadap kejadian penyusupan situs PeduliLindungi. Dari kasus ini, menurut Alfons, terlihat lemahnya koordinasi dan minimnya tanggung jawab.
Alih-alih memberikan tindakan atau penanganan cepat dan transparan, yang muncul justru saling lempar tanggung jawab. Kondisi ini bertolak belakang dengan kondisi saat Pandemi Covid-19. Saat PeduliLindungi masih menjadi proyek strategis, banyak pihak berlomba-lomba ingin mengelola situs dan layanan ini.
Dalam konteks Undang-Undang Pelindungan Data Pribadi (UU PDP), menurut Alfons, Kemenkes sebagai inisiator awal harusnya yang bertanggung jawab.
“Asumsinya kalau PeduliLindungi masih aktif yah. Ini kan sebenarnya sudah tidak digunakan, hanya situsnya yang aktif, tapi kemungkinan besar sudah tidak terkoneksi ke database. Yang harus bertanggung jawab jawab adalah pengelola data. Dalam hal ini Kemenkes,” ujarnya
Lebih lanjut, ia juga mengidentifikasi bila memang benar situs PeduliLindungi sempat dikelola oleh pihak ketiga seperti Telkom. Dalam kasus tersebut, bila terjadi kebocoran data, pihak pengelola yang tidak menjalankan prosedur keamanan secara memadai seharusnya bertanggung jawab secara hukum.
“Lalu, Kemenkes menyerahkan kepada pihak ketiga misalnya Telkom dan ‘andaikan’ data itu bocor, maka yang mengelola itu yg harus mempertanggungjawabkan. Karena (mereka) tidak mengelola dengan baik dan aman sesuai prosedur,” sambungnya.
Menurut Alfons, jika memang aplikasi PeduliLindungi sudah tidak aktif digunakan, kemungkinan besar tidak lagi terkoneksi dengan database. Namun, kasus yang penyusupan iklan judol yang terjadi belakangan menunjukkan lemahnya perhatian terhadap keamanan sistem digital, yang pernah sangat vital bagi publik.
“Tapi khusus dalam kasus situs PeduliLindungi menampilkan iklan judi online, memperlihatkan kalau pengamanan situs sudah kurang diperhatikan sehingga penyusup bisa mengambil alih dan menyuntikkan iklan judi di situs ini. Kalau database menurut perkiraan saya sudah tidak terkoneksi, jadi hanya situs tampilan saja,” ujarnya.
Alfons juga mengkritik kelalaian institusi pemerintah dalam menangani aset digital setelah selesai masa penggunaan. Menurutnya, setelah aplikasi PeduliLindungi berubah menjadi SatuSehat, seharusnya situs lama diamankan atau diblokir registrasinya untuk jangka waktu panjang –seperti 10 tahun ke depan. Sehingga tidak dapat disalahgunakan.
Hal ini penting untuk mencegah kebingungan publik yang mungkin masih mengira bahwa situs tersebut tetap resmi dan aman karena dulunya dikelola pemerintah. Ke depannya, ia menilai seharusnya lembaga seperti Komdigi dan BSSN, tampil lebih tegas dan proaktif dalam mengawasi keamanan siber nasional.
“Karena masyarakat awam yang pernah menggunakan dan percaya dengan situs ini kan tidak akan menaruh curiga dan mengira situs ini masih aman karena dikelola lembaga pemerintah,” katanya.
Cerminan Kegagalan Pengelolaan Aset Digital Negara
Sementara Chairman Lembaga Riset Keamanan Siber CISSReC, Pratama Persadha, menyesali kejadian ini. Dia menilai kasus berubahnya situs PeduliLindungi.id menjadi iklan judi online, mencerminkan salah satu kegagalan paling fundamental dalam pengelolaan aset digital strategis milik negara.
“Kejadian ini bukan sekadar soal teknis pengalihan domain. Melainkan juga menjadi cerminan dari absennya kerangka kerja yang utuh dan berkelanjutan dalam menjaga identitas digital pemerintah, khususnya setelah suatu layanan tidak lagi aktif digunakan,” ujarnya kepada Tirto, Jumat (23/5/2025).
Menurut Pratama, kasus ini menunjukkan celah besar dalam tata kelola domain. Dalam sistem manajemen domain internet, kegagalan memperpanjang kepemilikan, berarti alamat tersebut menjadi terbuka bagi umum untuk dibeli kembali. Ia menjelaskan, bentuk seperti ini secara teknis bukan peretasan, tapi menunjukkan kelalaian administratif.
“Ini kemungkinan besar yang terjadi pada PeduliLindungi.id—domain yang tidak diperpanjang dan akhirnya dibeli oleh pihak lain, kemudian diarahkan ke server yang memuat konten judi online. Ini bukan serangan siber dalam pengertian teknis peretasan, tetapi kelalaian administratif yang berdampak luas dan serius,” ujarnya.
Senada dengan Alfons, Pratama turut menyoroti respon para pemangku kepentingan yang justru menunjukkan lemahnya koordinasi dan minimnya tanggung jawab.
“Ketidakjelasan dalam proses transisi dan penghapusan tanggung jawab ini menunjukkan bahwa tidak ada mekanisme yang jelas tentang siapa yang bertanggung jawab terhadap pengelolaan domain setelah aplikasi dinonaktifkan,” ujarnya.
Dalam praktik terbaik keamanan siber, ada sejumlah langkah ketika suatu sistem atau domain dihentikan penggunaannya. Idealnya ada fase sunsetting, yang disertai dokumentasi, penghapusan data yang aman. Jika perlu, pengarsipan domain untuk mencegah penyalahgunaan di masa depan bisa dilakukan.
“Domain bekas layanan publik tidak boleh dibiarkan lepas tanpa pengawasan, apalagi jika memiliki nilai historis dan potensi trafik tinggi,” katanya.
Terakhir, Pratama menilai kasus ini merupakan refleksi kegagalan kolektif dalam menjaga kedaulatan digital. Ke depan, negara harus menempatkan pengelolaan domain dan keamanan digital sebagai bagian integral dari tata kelola pemerintahan yang modern.
Jika tidak, maka kita akan terus menyaksikan situs-situs bekas layanan vital berubah menjadi wajah baru dari aktivitas ilegal di ruang maya. “Dan dalam setiap kegagalan itu, yang paling dirugikan tetaplah rakyat yang telah percaya dan menyerahkan datanya pada negara,” tutup Pratama.
Melihat dari Kaca Mata UU PDP
Jika merujuk pada Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP), tanggung jawab atas keamanan data pribadi milik masyarakat tidak hilang, hanya karena aplikasi sudah tidak digunakan atau dialihkan ke pihak lain.
Dalam UU PDP, data pribadi didefinisikan sebagai data orang perseorangan yang teridentifikasi atau dapat diidentifikasi secara tersendiri atau dikombinasi dengan informasi lainnya, baik secara langsung maupun tidak langsung, melalui sistem elektronik atau non-elektronik.
Bisa dibilang, pelindungan data pribadi diartikan sebagai keseluruhan upaya untuk melindungi data pribadi, dalam rangkaian pemrosesan data pribadi.
UU PDP secara tegas mendefinisikan pengendali data pribadi sebagai pihak yang menentukan tujuan dan kendali atas pemrosesan data pribadi. Ini bisa berupa individu, badan publik, atau organisasi.
Dalam konteks PeduliLindungi, selama data dikumpulkan oleh pemerintah, maka pemerintah—dalam hal ini Kemenkes—berperan sebagai pengendali data pribadi.
Jika kemudian pengelolaan dialihkan kepada pihak lain, misalnya PT Telkom, maka pihak baru tersebut dapat menjadi prosesor atau bahkan pengendali baru, asalkan pengalihan ini disertai dengan tanggung jawab hukum yang tetap melekat.
UU PDP mendefinisikan prosesor data pribadi adalah setiap orang, badan publik, dan organisasi internasional yang bertindak sendiri-sendiri atau bersama-sama dalam melakukan pemrosesan data pribadi atas nama pengendali data pribadi.
Tidak berhenti di situ, UU PDP juga mengatur kewajiban yang sangat jelas apabila terjadi insiden pelanggaran data.
Pasal 46 ayat (1) menyebutkan bahwa apabila terjadi kegagalan pelindungan data pribadi, pengendali data wajib memberikan pemberitahuan tertulis kepada subjek data (yakni masyarakat pengguna aplikasi) dan lembaga berwenang dalam waktu paling lambat 3 x 24 jam. Pemberitahuan itu pun harus mencakup informasi tentang jenis data yang terungkap, kronologi insiden, serta langkah mitigasi dan pemulihannya.
Memang kondisi yang terjadi dengan situs PeduliLindungi belum mencapai tahap kebocoran data. Namun, melihat penanganan permasalahan yang lebih banyak lempar tanggung jawab, tidakkah masyarakat patut khawatir kalau-kalau data pribadi di platform tersebut ada yang bocor?
Penulis: Alfitra Akbar
Editor: Alfons Yoshio Hartanto
