ABATANEWS — Peneliti vpnMentor menemukan kebocoran data dari Aplikasi Electronic Health Alert Card atau eHAC.
Aplikasi dibuat pada tahun 2021 oleh Kementerian Kesehatan Indonesia untuk memantau perjalanan dan status kesehatan.
Baca Juga : Karyawan Kirim Surat Terbuka ke CEO Apple, Protes Keamanan Data Pribadi
Tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar, mengatakan bahwa aplikasi tidak memiliki privasi data yang tepat.
Data lebih dari satu juta orang dapat diakses di server dengan terbuka.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” vpnMentor kata tim peneliti dilansir zdnet.
Baca Juga : Data e-HAC Bocor, Pakar Siber: Nomor KTP Hingga Hotel Tempat Nginap Tersebar
“Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan hingga Google – penyedia hosting eHAC. Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah lain, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus katanya server dimatikan.”
Dalam laporan mereka, para peneliti menjelaskan bahwa orang yang membuat eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos. Termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Baca Juga : Aplikasi LinkedIn Diretas, Data 700 Juta Pengguna Bocor
Data yang bocor tersebut antara lain ID pengguna — mulai dari paspor hingga nomor KTP — serta data dan hasil tes COVID-19, ID rumah sakit, alamat, nomor telepon, nomor ID URN, dan nomor ID rumah sakit URN.
Untuk warga Indonesia terdapat nama lengkap, nomor, tanggal lahir, kewarganegaraan, pekerjaan, dan foto mereka.
Menanggapi itu, Kementerian Kesehatan mengatakan kebocoran diduga terjadi pada aplikasi yang lama dan sudah tidak digunakan lagi sejak 2 Juli 2021 lalu.
Baca Juga : Kominfo Panggil Direksi BPJS Kesehatan Terkait Kebocoran Data 279 Juta Warga
“Terkait dengan hal itu kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021,” kata Kepala Pusat Data dan Informasi Kemenkes RI, Annas Maaruf dalam konferensi pers online, Selasa (31/8/2021).
Dia mengatakan sejak saat itu, eHAC sudah terintegrasi dengan Peduli Lindungi. Sistem tersebut diklaim berbeda dengan sistem eHAC yang lama sebelumnya.
Menurutnya terkait masalah kebocoran tersebut juga sedang dilakukan investigasi lebih lanjut.
Baca Juga : Kominfo Panggil Direksi BPJS Kesehatan Terkait Kebocoran Data 279 Juta Warga
“Kebocoran tidak terkait dengan eHAC yang ada di Peduli Lindungi. Saat ini tengah dilakukan investigasi lebih lanjut,” kata dia.
Kemungkinan kebocoran data berada di pihak mitra. Hal itu sudah diketahui pemerintah dan melakukan pengamanan aplikasi juga melibatkan Kementerian Kominfo serta pihak berwajib.
Untuk langkah mitigasi, aplikasi eHAC juga lama sudah dinonaktifkan. Sedangkan layanan eHAC masih bisa digunakan melalui Peduli Lindungi.
Baca Juga : Kominfo Panggil Direksi BPJS Kesehatan Terkait Kebocoran Data 279 Juta Warga
“Saat ini eHAC tetap dilakukan berada di dalam peduli lindungi, eHAC yang digunakan di dalam aplikasi Peduli Lindungi,” ungkapnya.
