Berita  

Kejanggalan Sistem Web KPU & Sirekap Berada di Server Alibaba

Kejanggalan Sistem Web KPU & Sirekap Berada di Server Alibaba

Setelah Pemilihan Umum atau Pemilu 2024, publik dikejutkan oleh ketidaksesuaian dalam penghitungan suara yang dilakukan oleh sistem Komisi Pemilihan Umum (KPU). Perbedaan antara hasil rekapitulasi formulir C1 dengan data tabulasi pada situs sirekap-web.kpu.go.id dan pemilu2024.kpu.go.id menjadi perhatian utama.

Sebagai respons terhadap insiden tersebut, Ketua Cyberity Arif Kurniawan dan tim investigasinya melakukan riset mendalam terhadap dua situs milik KPU. Dari hasil penelusuran, diketahui bahwa server KPU berada di luar Indonesia, lebih tepatnya menggunakan layanan cloud yang lokasi servernya terletak di RRC, Perancis, dan Singapura, dengan layanan penyedia internet (ISP) raksasa Alibaba.

Salah satu cara untuk mengecek kemana domain dari situs tersebut terhubung dapat menggunakan DNS Checker dan juga IP Geolocation. Ini adalah hasil pengecekan yang kami lakukan pertama pada situs sirekap-web.kpu.go.id

lokasi server sirekap kpu

lokasi server sirekap kpu

Dari hasil tersebut terlihat jelas bahwa domain situs sirekap-web.kpu.go.id terhubung ke IP 170.33.97.36 yang dikelola alibaba cloud dan terdaftar di Singapura. Lalu selanjutnya situs pemilu2024.kpu.go.id dengan menggunakan cara yang sama menampilkan hasil cukup banyak dimana situs terhubung ke beberapa IP dengan data terdaftar di beberapa negara berbeda yang dikelola alibaba cloud, zhejiang taobo network, sk broadband.

pemilu 2024 dns kpu

alamat ip situs kpu pemilu2024

alamat ip situs kpu pemilu2024

 

Cyberity juga menemukan bahwa data dan lalu lintas email pada dua lokasi tersebut, yaitu Perancis dan Singapura, terhubung ke RRC melalui layanan Alibaba Cloud. Hal ini menimbulkan kekhawatiran akan celah keamanan siber pada aplikasi pemilu2024.kpu.go.id, dan memberikan kontribusi pada ketidakstabilan aplikasi Sirekap, terutama pada masa krusial seperti selama pemilu dan beberapa hari setelahnya.

Pakar telematika, Roy Suryo, turut mengungkapkan masalah serupa. Ia menyoroti fakta bahwa server KPU menggunakan layanan Alibaba Cloud, yang umumnya digunakan oleh perusahaan swasta untuk keperluan e-commerce. Roy Suryo memperingatkan tentang potensi bocornya data penting pemilu, terutama jika data tersebut tercampur dengan jutaan data lainnya pada server cloud Alibaba.

Arif Kurniawan menilai bahwa penggunaan server di luar Indonesia melanggar peraturan yang mengatur penyelenggaraan sistem dan transaksi elektronik. Ia merujuk pada Peraturan Pemerintah Nomor 71 Tahun 2019 dan Undang Undang Nomor 27 Tahun 2022 yang menyatakan bahwa data masyarakat Indonesia, khususnya data pemilu yang dihasilkan dari APBN, seharusnya berada di Indonesia.

Roy Suryo juga mencermati kejanggalan yang telah lama terjadi pada sistem IT KPU, terutama dalam konteks kebocoran data pemilih pada tahun 2023 yang belum mendapat penanganan serius. Ia menekankan pentingnya audit keamanan IT untuk memastikan ketahanan sistem, namun mengkritik bahwa KPU belum menunjukkan inisiatif untuk melakukan audit tersebut.

KPU, sebagai tanggapan terhadap kritik, mengakui adanya kesalahan dalam pembacaan Optical Character Recognition (OCR) dokumen C1. Namun, Arif Kurniawan menyoroti bahwa hingga saat ini, belum ada hasil audit keamanan sistem yang diperlihatkan oleh KPU. Selain itu, tidak ada audit perlindungan data warga setelah kebocoran data Daftar Pemilih Tetap (DPT) pada tahun 223.

Roy Suryo mempertanyakan kebijakan KPU yang tidak pernah menginformasikan kepada publik mengenai lelang perusahaan yang akan menghimpun data pemilih ke Alibaba Cloud. Ia menekankan perlunya uji publik dilakukan di seluruh daerah untuk memastikan kehandalan sistem, serta meragukan sertifikasi operator yang mengelola data pemilih.

Komisioner KPU, Betty Epsilon Idroos, membantah klaim bahwa server Sirekap terhubung dengan Alibaba di Singapura, menyatakan bahwa server tersebut berada di Indonesia. Meskipun demikian, ia enggan memberikan penjelasan lebih lanjut mengenai IP address yang diduga terhubung dengan Alibaba. Kritik dan kekhawatiran terus muncul dari pihak ahli dan masyarakat terkait keamanan dan transparansi sistem pemilu.

Kendala lain yang belum diungkapkan oleh KPU kepada publik terkait lelang perusahaan yang mengumpulkan data pemilih ke Alibaba Cloud menjadi perhatian. Roy Suryo menyoroti masalah sertifikasi yang hanya dilakukan melalui Kementerian Komunikasi dan Informatika, dan menyatakan kebingungannya terkait absennya uji publik. Ia menekankan perlunya uji publik tidak hanya dilakukan di Jakarta, tetapi juga di seluruh daerah, karena satu sistem yang berfungsi di Jakarta belum tentu dapat beroperasi dengan baik di 38 provinsi lainnya di Indonesia. Selain itu, keberlanjutan operator yang belum tersertifikasi menjadi pertanyaan kritis, apakah mereka mampu mengelola data publik yang sangat sensitif.

Dampak dari ketidaktersertivasian ini mencuat dalam penghitungan suara sementara yang dipublikasikan melalui situs web KPU. Roy Suryo menegaskan bahwa terjadi perubahan angka secara signifikan, seperti angka 1 yang berubah menjadi 4, dan 78 yang berubah menjadi 780. Menurutnya, hal ini disebabkan oleh kurangnya sertivikasi pada sistem dan individu yang mengelolanya.

Roy Suryo juga merinci bahwa sistem yang digunakan oleh Sirekap dalam mengunggah C1 plano, yaitu dokumen penghitungan suara pemilih, dianggap sudah kuno. Meskipun berbasis optical character recognizer (OCR) dan optical mark reader (OMR), teknologi ini sebenarnya sudah ada sejak tahun 1914. Ia menyayangkan bahwa KPU tidak dapat memanfaatkannya secara optimal dan bahkan dianggap asal-asalan, mengakibatkan banyak kesalahan teknis.

Pentingnya memahami kesalahan teknis ini tercermin dari ketidaksesuaian jumlah suara C1 dengan hasil konversi melalui pemilu2024.kpu.go.id. Roy Suryo menyimpulkan bahwa kritik terhadap kasus konversi penghitungan suara yang menyebutkan adanya unsur pelanggaran terstruktur, sistematis, dan masif diduga akibat dari kesalahan teknis yang terjadi dalam sistem KPU.