Misteri Sirekap KPU, Data Pemilu 2024 Mengalir dari Hangzhou ke Virginia AS

Suara.com - Pemenang Pilpres dan Pemilu 2024 ditetapkan KPU, Rabu hari ini, meski banyak pihak menyinyalir data sirekap bermasalah dan rawan dimanipulasi. Hasil penelusuran, data publik tersebut diatur dan ada di sejumlah negara termasuk Amerika Serikat.

DUGAAN itu bermula dari komunitas Cyberity yang mengungkap server—dalam bahasa Indonesia biasa disebut peladen—aplikasi Sistem Informasi Rekapitulasi (Sirekap) maupun laman pemilu2024.kpu.go.id, berada di tiga negara: Singapura, China, dan Prancis.

“KPU menggunakan Sirekap kan fungsi utamanya untuk mencegah kecurangan dalam penghitungan suara pemilu. Tapi yang penting ditanyakan, datanya disimpan di dalam atau luar negeri?” kata Ketua Cyberity Arif Kurniawan dalam wawancaran khusus dengan Suara.com, Jumat (8/3/2024).

Bila ditilik berdasarkan internet protocol address (IP address), komunitas yang berfokus pada isu keamanan siber tersebut mengungkapkan, peladen dua laman milik KPU khusus untuk Pilpres serta Pemilu 2024—yakni sirekap-web.kpu.go.id dan pemilu2024.kpu.go.id—tidak berada di Indonesia.

Tak hanya itu, berdasarkan rangkaian angka unik yang mengidentifikasi laman tersebut, server Sirekap maupun laman Pemilu 2024 milik KPU dikelola oleh Alibaba, korporasi teknologi asal Tiongkok.

“Saya kaget saat tahu. Artinya, data warga yang ikut pemilu diproses bukan cuma di Indonesia,” kata Arif.

Anggota KPU Betty Epsilon Idroes, dalam wawancara di kantornya, Senin (19/2) malam, sempat membantah server dan data Sirekap berada di luar negeri.

“Seluruhnya disimpan di Indonesia. Tak ada data yang disimpan di negara lain,” kata Betty.

Pernyataan Betty justru seratus delapanpuluh derajat terbalik dengan pengakuan perwakilan KPU dalam persidangan sengketa informasi yang dimohonkan LSM Yayasan Advokasi Hak Konstitusional Indonesia (Yakin), Rabu (13/3).

Dalam sidang, perwakilan KPU mengakui bekerja sama dengan Alibaba terkait pengadaan dan kontrak komputasi awan (cloud) untuk Sirekap.

Menurut Kementerian Komunikasi dan Informatika, kerja sama KPU dengan Alibaba tersebut tidak melanggar aturan. Sebab, semua data publik terkait pemilu tetap disimpan di Indonesia.

"Itu masih sesuai aturan. Kan yang penting datanya di Indonesia,” kata Direktur Jenderal Aplikasi Informatika Kemenkominfo, Semuel Abrijani Pangerapan, Jumat (15/3).

Server mirror di AS

PEMBUKTIAN lokasi mesin peladen sirekap-web.kpu.go.id dan pemilu2024.kpu.go.id, bisa didapat melalui penelusuran terhadap IP address kedua laman tersebut.

Berdasarkan penelusuran memakai metode terminal dan NSLookup, nama kanonik laman pemilu2024.kpu.go.id adalah “pemilu2024.kpu.go.id.w.cdngslb.com” dengan alamat IP 47.246.50.79.

Sementara nama kanonik laman sirekap-web.kpi.go.id adalah “4w4kpyk1tqp8s14z.aliyunddos0010.co” dengan alamat 170.33.97.36.

Selanjutnya, untuk mengetahui informasi mengenai alamat domain tersebut, bisa memakai Shodan—mesin pencari untuk perangkat yang terhubung ke Internet.

Penelusuran melalui Shodan.io, diketahui hostname atau pihak yang membuat dua situs milik KPU tersebut adalah alicdn.com; alikunlun.com; cmsos.greencompute.org; m.intl.taobao.com; dan, s.tbcdn.cn. Seluruh hostname dan domain tersebut adalah milik Alibaba Cloud LLC.

Penyimpanan komputasi awan (cloud) laman Pemilu2024.kpu.go.id diinformasikan berada di daerah Ile-de-France, Kota Paris, Prancis, ber-latitude 48.8591 dan longitude 2.2935. Nama organisasi yang mengelolanya adalah AS24429 Zhejiang Taobao Network Co.Ltd.

Sementara, cloud data sirekap-web.kpu.goid dengan IP address 170.33.97.36, juga disediakan oleh Alibaba Cloud yang berada di Singapura dengan latitude 1.2897 dan longitude 103.8501.

Tak hanya itu, terdeteksi pula server mirror Sirekap KPU oleh Alibaba Cloud Private Limited di wilayah Kota Herndon, wilayah Virginia, Amerika Serikat, ber-latitude 38.9696 dan longitude -77.3861.

Agar lebih tepat, untuk mengetahui tempat dan pemilik server dua laman KPU tersebut, bisa ditelusuri memakai metode MX record yang mencatat transaksi data pada Sirekap maupun laman Pemilu 2024 milik KPU.

Berdasarkan penelusuran memakai MX ToolBox, didapatkan rdns1.alidns.com dan rdns2.alidns.com, yang merujuk pada perusahaan Alibaba.

Dengan demikian, melalui penelusuran Suara.com, bisa didapatkan informasi bahwa domain pemilu2024.kpu.go.id serta sirekap-web.kpu.go.id, berikut pula transaksi data berada di luar Indonesia.

Setelahnya, tersisa pertanyaan yang selama ini menjadi polemik, yakni apakah data publik terkait Pemilu dan Pilpres 2024 juga berada di luar negeri?

Data di China

MELALUI metode yang sama, didapatkan informasi bahwa surat elektronik atau email kedua laman milik KPU—pemilu2024.kpu.go.id dan sirekap-web.kpu.go.id juga berada di luar negeri.

Lewat penelusuran terminal dan NSlookup, didapatkan alamat email pemilu2024.kpu.go.id adalah root.cdngslb.com. Setelahnya, melalui jalur root tersebut, didapatkan IP address email situs KPU itu adalah 155.238.23.241.

Masih melalui jalur root.cdngslb.com dari IP address 115.238.23.241, didapatkan informasi bahwa server dan data email ada di Kota Hangzhou, wilayah Zhejiang, Tiongkok dengan latitude 30.2936 dan longitude 120.1616.

Sementara untuk email sirekap-web.kpu.go.id, didapatkan alamatnya adalah hostmaster.hichina.com.

Lebih jauh lagi, penyedia layanan host email Hichina ini adalah milik Aliyun Computing Co,.LTD yang berada di Hangzhou, Tiongkok. Untuk diketahui pula, Aliyun Computing juga merupakan bagian dari Alibaba Cloud.

Kerentanan Sirekap

KETUA Cyberity Arif Kurniawan menjelaskan, setidaknya terdapat dua kerentanan Sirekap KPU, yang kekinian menjadi polemik.

Pertama, persoalan keamanan data warga orang per orang yang menggunakan hak pilihnya untuk Pemilu maupun Pilpres 2024.

“Sirekap itu sebenarnya pemrosesan data yang sudah masuk kualifikasi sebagai data agregat, karena isinya kan total hasil pemilu. Nah, apakah hal itu sudah dipastikan betul-betul teranonimisasi?” kata Arif.

Anonimisasi yang dimaksud adalah, apakah Sirekap bisa menjamin tidak mengidentifikasi pilihan partai politik dan capres-cawapres setiap warga yang mencoblos.

“Itu penting karena pilihan politik itu bersifat bebas dan rahasia. Ada asasnya.”

Kedua, kata dia, meskipun belum tentu terjadi, tedapat risiko intervensi terhadap hasil pemilu ketika pemrosesan data tidak sepenuhnya dilakukan di Indonesia.

Sebab, sambung Arif, terdapat sejumlah celah saat mengakses aplikasi Sirekap KPU yang memungkinkan adanya intervensi.

Misalnya, terdapat laporan ketidaktepatan jumlah ketika foto formulir C hasil plano di TPS diunggah melalui sistem OCR (optical character recognition) ke Sirekap.

Selain kesalahan OCR, ada juga kesalahan penjumlahan sederhana terhadap jumlah suara pemilih yang sebenarnya berbasis Microsoft Exel, tapi hasilnya berbeda saat dilakukan penghitungan manual.

“Intervensi ini tidak harus dilakukan dari luar negeri, bisa juga dilakukan peretas dalam negeri. Ada beberapa celah atau loop, yang memungkinkan diintervensi, atau istilah teknisnya ada backdoor untuk masuk ke Sirekap.”

Arif menjelaskan, persoalan-persoalan tersebut bukannya tidak bakal terjadi bila server dan data pemilu dikelola di Indonesia.

“Tetap ada risikonya. Tapi artinya, server di dalam negeri juga ada risiko, apalagi yang berada di luar negeri. Risikonya bertambah, yakni pihak asing melakukan intervensi terhadap sistem tersebut jadi terbuka. Apalagi itu terlihat pengamanannya juga terpasang Aliyunddos, milik Alibaba. Kenapa tidak memakai dari Kominfo atau BSSN, kan ada.”

Dengan kata lain, Sirekap sebagai tumpuan KPU menotalisasi poses pemilu tidak berintegritas secara sistem komputasi.

“Semestinya, Sirekap ini kan diadakan untuk memenuhi tujuan dari confidentiality, integrity, dan availability data,” kata Arif.

Langgar PP 71/2019

SELAIN persoalan integritas Sirekap, KPU juga disoal karena berpotensi melanggar Peraturan Pemerintah Nomor 71 Tahun 2019 tentang penyelenggaraan sistem elektronik (PP PSE).

Hal itu terjadi bila KPU terbukti menggunakan server dan melakukan pemrosesan data di luar negeri tanpa mengikuti prosedur yang ditetapkan peraturan tersebut.

Dalam Pasal 20 ayat 2 PP PSE disebutkan, “Penyelenggara Sistem Elektronik Lingkup Publik wajib melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di wilayah Indonesia.”

Sementara ayat 3 mengamanatkan “Penyelenggara Sistem Elektronik Lingkup Publik dapat melakukan pengelolaan, pemrosesan, dan/atau penyimpanan Sistem Elektronik dan Data Elektronik di luar wilayah Indonesia dalam hal teknologi penyimpanan tidak tersedia di dalam negeri.”

Namun, Direktur Eksekutif Lembaga Studi dan Advokasi Masyarakat (Elsam) Wahyudi Djafar menjelaskan, jika membutuhkan server luar negeri, maka perlu adanya komite antarkementerian yang mengkaji kebutuhan tersebut.

“Komite itu terdiri dari Kominfo, KPU, dan BSSN, minimal untuk melihat apakah memang betul teknologi di dalam negeri tidak tersedia dan pilihannya menggunakan data server di luar negeri,” kata Wahyudi kepada Suara.com, Jumat (15/3).

“Dalam konteks ini, Kominfo sebagai pengawas PSE berwenang memberikan sanksi kepada KPU,” kata Wahyu.

Sementara di lain sisi, KPU sebagai penyelenggara pemilu juga bisa berpotensi melanggar hukum adminitratif yang menjadi ranah kewenangan Badan Pengawas Pemilu (Bawaslu).

“Jadi, ada dua bentuk pelanggaran dalam kapasitas KPU sebagai penyelenggara sistem elektronik dan pelanggaran KPU dalam kapasitas sebagai penyelenggara pemilu,” kata Wahyudi.

------------------------------------------------

Reporter: Dea Hardiningsih Irianto

Penyunting Pertama: Erick Tanjung

Penyunting Akhir: Reza Gunadha