When Indonesia launched the PeduliLindungi app in 2020, it was hailed as a digital savior — a tool to track COVID-19 cases, manage vaccinations, and safeguard public health. Fast forward to 2025, and the app’s legacy is marred by cyberattacks, data leaks, and a government that seems all too eager to wash its hands of responsibility. Let’s unpack how a once-promising app became a cautionary tale of negligence and misplaced priorities.
The Rise and Fall of a Pandemic Icon
PeduliLindungi began as a beacon of hope. Designed for contact tracing, vaccination certificates, and health status checks, it was mandatory for entering malls, offices, and public transport. The app collected sensitive data — location, ID numbers, health records — with promises of encryption and privacy. But by 2023, the government replaced it with SatuSehat, a new platform under the Health Ministry. PeduliLindungi was handed over to state-owned telecom giant Telkom, a move that reeked of bureaucratic passing-the-buck.
The transition was anything but smooth. While officials assured the public that SatuSehat was “secure,” PeduliLindungi’s abandoned infrastructure became a playground for hackers.
Cyberattacks: A Hacker’s Paradise
In May 2025, PeduliLindungi’s website was defaced and redirected to an online gambling platform — an embarrassing slap in the face for a tool once praised for its role in pandemic containment. The Health Ministry’s response? “Not our problem anymore!”.
But this wasn’t the first security fiasco. In 2022, cybersecurity researchers exposed a leak of 1.3 million users’ data — including IDs, addresses, and health histories — from an outdated version of the app. Then, in late 2022, hacker Bjorka allegedly stole 3.2 billion records from PeduliLindungi, selling them on the dark web for $100,000. The data included vaccination statuses, contact-tracing logs, and even gadget IDs.
Despite these breaches, authorities responded with radio silence. The National Cyber and Encryption Agency (BSSN) dodged questions, and the Health Ministry deferred blame, claiming PeduliLindungi was now Telkom’s headache.
Technical Woes: When the App Just… Stops
Even before the cyberattacks, PeduliLindungi was notoriously unreliable. In 2022, the app crashed for hours due to “routine maintenance,” leaving commuters stranded at train stations. The ministry’s solution? A tweet saying, “Oops, our bad!”. Users grew accustomed to cryptic error messages like “error_json” — a fitting metaphor for the app’s chaotic backend.
The Great Accountability Escape
Here’s the kicker: The government knew the risks. In 2023, when PeduliLindungi was phased out, officials urged citizens to delete the old app and switch to SatuSehat. Yet, they left the abandoned platform’s security to Telkom, a company with no clear expertise in health data management.
This hands-off approach is peak bureaucratic irony. The same ministry that once demanded public trust for mass surveillance now shrugs and says, “Not our job!” Meanwhile, sensitive data — collected under the guise of public safety — ends up on dark web marketplaces.
A Pattern of Neglect
PeduliLindungi’s downfall isn’t an isolated incident. Indonesia’s track record on data protection is abysmal. From the MyIndiHome leak (35 million users) to the alleged passport data breach (34 million citizens), the government’s response is a broken record: “We’re investigating”.
Experts like cybersecurity practitioner Alfons Tanujaya have warned that leaked data fuels cybercrimes — think identity theft or predatory loans. Yet, public institutions remain woefully unprepared to comply with Indonesia’s Personal Data Protection Law.
A Lesson in What Not to Do
PeduliLindungi’s story is a masterclass in mismanagement. The government’s failure to secure the app — or even admit fault — exposes a reckless disregard for citizens’ privacy. Gaslighting the public with empty assurances?
As Indonesia pushes for digital transformation, PeduliLindungi serves as a grim reminder: without accountability, transparency, and investment in cybersecurity, every new app is just a ticking time bomb.
Terjemahan Bahasa Indonesia
Dari Pahlawan Pandemi ke Nol Keamanan Siber: Perjalanan Suram PeduliLindungi Indonesia
Saat Indonesia meluncurkan aplikasi PeduliLindungi pada tahun 2020, aplikasi ini dipuji sebagai penyelamat digital — alat untuk melacak kasus COVID-19, mengelola vaksinasi, dan menjaga kesehatan publik. Namun, pada tahun 2025, warisan aplikasi ini ternoda oleh serangan siber, kebocoran data, dan pemerintah yang tampak terlalu cepat lepas tangan dari tanggung jawab. Mari kita kupas bagaimana aplikasi yang dulunya menjanjikan ini berubah menjadi pelajaran kelam tentang kelalaian dan prioritas yang salah arah.
Naik dan Turunnya Ikon Pandemi
PeduliLindungi dimulai sebagai cahaya harapan. Dirancang untuk pelacakan kontak, sertifikat vaksinasi, dan pemeriksaan status kesehatan, aplikasi ini menjadi wajib untuk masuk ke mal, kantor, dan transportasi umum. Aplikasi ini mengumpulkan data sensitif — lokasi, nomor identitas, riwayat kesehatan — dengan janji enkripsi dan privasi. Namun pada 2023, pemerintah menggantinya dengan SatuSehat, platform baru di bawah Kementerian Kesehatan. PeduliLindungi kemudian diserahkan ke Telkom, perusahaan milik negara di bidang telekomunikasi, langkah yang terkesan seperti upaya melempar tanggung jawab secara birokratis.
Transisi ini jauh dari kata mulus. Meski pejabat meyakinkan publik bahwa SatuSehat “aman,” infrastruktur PeduliLindungi yang ditinggalkan justru menjadi taman bermain bagi para peretas.
Serangan Siber: Surga bagi Peretas
Pada Mei 2025, situs PeduliLindungi diretas dan dialihkan ke platform judi online — tamparan memalukan bagi alat yang dulu dipuji atas perannya dalam penanganan pandemi. Tanggapan dari Kementerian Kesehatan? “Bukan urusan kami lagi!”.
Namun ini bukan pertama kalinya terjadi insiden keamanan. Pada 2022, peneliti keamanan siber mengungkap kebocoran data 1,3 juta pengguna — termasuk KTP, alamat, dan riwayat kesehatan — dari versi aplikasi yang sudah usang. Kemudian, di akhir 2022, peretas bernama Bjorka diduga mencuri 3,2 miliar data dari PeduliLindungi dan menjualnya di dark web seharga $100.000. Data tersebut mencakup status vaksinasi, log pelacakan kontak, hingga ID perangkat.
Meski terjadi berbagai pelanggaran, otoritas malah bungkam. Badan Siber dan Sandi Negara (BSSN) menghindari pertanyaan, dan Kementerian Kesehatan lepas tangan, menyatakan PeduliLindungi kini adalah tanggung jawab Telkom.
Masalah Teknis: Saat Aplikasi Tiba-Tiba Mati
Bahkan sebelum serangan siber, PeduliLindungi sudah terkenal tidak bisa diandalkan. Pada 2022, aplikasi ini mengalami gangguan selama berjam-jam karena “pemeliharaan rutin,” membuat para komuter terdampar di stasiun. Solusi dari kementerian? Sebuah cuitan: “Ups, maaf ya!”. Pengguna pun terbiasa dengan pesan error seperti “error_json” — sebuah metafora yang pas untuk kekacauan sistem aplikasi ini.
Pelarian dari Tanggung Jawab
Yang paling ironis: pemerintah sebenarnya tahu risikonya. Pada 2023, saat PeduliLindungi dinonaktifkan, pejabat menganjurkan masyarakat untuk menghapus aplikasi lama dan beralih ke SatuSehat. Namun, mereka menyerahkan keamanan platform yang ditinggalkan itu kepada Telkom, perusahaan yang tidak memiliki keahlian jelas dalam pengelolaan data kesehatan.
Pendekatan lepas tangan ini adalah ironi birokrasi tingkat tinggi. Kementerian yang sebelumnya meminta kepercayaan publik untuk melakukan pengawasan massal, kini berkata, “Bukan tanggung jawab kami!”. Sementara itu, data sensitif — yang dikumpulkan atas nama keselamatan publik — berakhir di pasar gelap.
Pola Pengabaian
Kejatuhan PeduliLindungi bukanlah kasus yang berdiri sendiri. Rekam jejak Indonesia dalam perlindungan data memang memprihatinkan. Dari kebocoran MyIndiHome (35 juta pengguna) hingga dugaan bocornya data paspor (34 juta warga), respons pemerintah selalu sama: “Kami sedang menyelidiki”.
Para ahli seperti praktisi keamanan siber Alfons Tanujaya telah memperingatkan bahwa data bocor bisa memicu kejahatan siber — mulai dari pencurian identitas hingga pinjaman online ilegal. Namun, institusi publik masih sangat tidak siap untuk mematuhi Undang-Undang Perlindungan Data Pribadi Indonesia.
Pelajaran tentang Apa yang Tidak Boleh Dilakukan
Kisah PeduliLindungi adalah studi kasus tentang salah urus. Kegagalan pemerintah dalam mengamankan aplikasi — atau bahkan mengakui kesalahan — menunjukkan ketidakpedulian serius terhadap privasi warga. Menenangkan publik dengan janji kosong?
Saat Indonesia mendorong transformasi digital, kisah PeduliLindungi menjadi pengingat kelam: tanpa akuntabilitas, transparansi, dan investasi nyata dalam keamanan siber, setiap aplikasi baru hanyalah bom waktu yang menunggu meledak.
References
https://www.pedulilindungi.id/
https://bnpb.go.id/berita/kominfo-aplikasi-peduli-lindungi-bantu-putus-rantai-penularan-covid19
https://www.detik.com/sumut/berita/d-7924421/penjelasan-kemenkes-soal-pedulilindungi-berubah-jadi-laman-judi-online
https://health.detik.com/berita-detikhealth/d-7924383/geger-pedulilindungi-berubah-jadi-laman-judol-kemenkes-ri-buka-suara
https://www.antaranews.com/berita/4845053/kemenkes-respons-isu-peretasan-pedulilindungi
https://www.thejakartapost.com/indonesia/2022/09/14/ministry-says-maintenance-to-blame-for-pedulilindungi-crashing.html
https://www.kompas.id/baca/english/2022/11/17/bjorka-is-back-in-action
https://www.kompas.id/baca/english/2023/07/05/en-soal-dugaan-kebocoran-data-paspor-kemkominfo-kami-masih-telusuri