PIKIRAN RAKYAT - Seiring menurunnya tingkat penularan Covid-19, pemerintah melonggarkan beberapa kebijakan. Salah satu di antaranya, mal dan pusat perbelanjaan di beberapa kota besar sudah diperbolehkan kembali beroperasi.
Bahkan, kini, anak-anak berusia di bawah 12 tahun sudah diperbolehkan memasuki kedua tempat itu.
Kita dapat melihat bahwa kini personel satuan pengamanan memiliki tugas tambahan yakni menapis para pengunjung.
Mereka akan sigap meminta pengunjung yang baru datang untuk menggunakan aplikasi PeduliLindungi.
Alternatif lain, pengunjung diminta memperlihatkan sertifikat vaksinasi lengkap, baik berupa fisik, file unduhan, maupun foto hasil tangkapan layar.
Di sejumlah mal dan pusat perbelanjaan, secara umum, para personel satuan pengamanan telah menjalankan tugas dengan baik. Meski demikian, terdapat celah ketika mereka tidak dapat mengawasi pengunjung secara saksama, yakni ketika pengunjung datang berombongan.
Pada saat itu, bukti yang ditunjukkan pengunjung hanya dilihat secara selintas. Bahkan, kemungkinan besar, mereka tidak akan dapat memastikan keaslian dokumen yang ditunjukkan pengunjung.
Di sinilah kelemahan penerapan kebijakannya. Kita dapat menyimak apa yang disampaikan Harry Sufehmi, pendiri Masyarakat Antifitnah Indonesia (Mafindo) yang juga praktisi teknologi informasi.
Baca Juga: Ratapi Kondisi Tukul Arwana di ICU, 'Kekasih' sang Pelawak: Mas yang Paling Aku Sayangi...
Mafindo adalah lembaga swadaya masyarakat yang berfokus melawan hoaks dan misinformasi di Indonesia.
Dalam utas di akun Twitter, beberapa hari lalu, ia menyatakan bahwa salah satu masalah fundamental aplikasi PeduliLindungi adalah penerapan client-side authentication. Maksudnya, pembuktian mengenai apakah pengunjung sudah divaksin atau belum justru berada di sisi pengunjung.
Kebijakan itu, menurut Harry, merupakan anomali. Seharusnya, kerja tersebut dilakukan oleh personel satuan pengamanan di mal, pusat perbelanjaan, atau lokasi lain yang mengharuskan penerapan langkah itu.
Praktisnya begini, kata Harry, pengunjung sebenarnya hanya perlu menunjukkan kartu vaksin, bahkan sebetulnya cukup KTP.
Personel satuan pengamanan memindai kartu vaksin atau KTP itu untuk selanjutnya diperiksa ke server milik pemerintah.
Alhasil, mesin (ataupun alat lain) yang dipegang personel satuan pengamanan menampilkan nama pengunjung, detail vaksin, dan sebagainya.
Jika data tersebut sesuai, barulah personel satuan pengamanan memperbolehkan pengunjung masuk.
Kebijakan yang terjadi sekarang malah sebaliknya. Justru pengunjung yang diminta membuktikan secara swadaya.
Baca Juga: Tukul Arwana Sering Menggampangkan Saat Sakit Kepala, Pelawak Polo: Dia Cuma Konsumsi Obat Apotek
Tak heran jika kemudian muncul celah yang dapat dimanfaatkan orang tidak bertanggung jawab.
”Jika otentikasi dilakukan di sisi pengguna, pasti bisa diretas dan dikadali. Pasti. Untuk praktisi IT, analogi kasus ini seperti memproses login dan password di Javascript, di browser. Otentikasi, jika ingin aman, maka hanya bisa jika dilakukan di sisi server/otoritas,” kata Harry.
Sebelum terlambat, pemerintah sebaiknya mengevaluasi kebijakan pemindaian aplikasi PeduliLindungi dari sisi pengunjung.
Sudah seharusnya pula pemerintah mengunjungi media sosial. Soalnya, di sana, terdapat banyak sekali operandi penyalahgunaan aplikasi PeduliLindungi agar lolos penapisan.
Di media sosial, sudah banyak orang yang mengaku menggunakan aplikasi palsu (fake app) agar bisa melenggang masuk mal.
Ada pula yang mengaku hanya berbekal hasil tangkapan layar sertifikat vaksin milik orang lain untuk mengecoh petugas keamanan mal, stasiun, dan sebagainya.
Ada lagi orang yang meminjam akun PeduliLindungi milik orang lain.
Praktik-praktik lancung itu masih terus terjadi. Para personel satuan pengamanan memang berpeluang besar terkecoh. Apalagi, tak semua dari mereka memiliki pengetahuan mumpuni tentang teknologi informasi.
Oleh karena itu, sekali lagi, mekanisme penapisan lebih baik diubah, dari semula client-side authentication menjadi server-side authentication.
Manajemen mal, pusat perbelanjaan, atau lokasi lain harus membekali para personel satuan pengamanan dengan perangkat untuk memeriksa jati diri pengunjung. Saat ini, pekerjaan itu dapat dilakukan secara sederhana dengan menggunakan telefon pintar.***