Sebanyak 1,3 Juta Data Pengguna eHAC Bocor
ABATANEWS — Peneliti vpnMentor menemukan kebocoran data dari Aplikasi Electronic Health Alert Card atau eHAC.
Aplikasi dibuat pada tahun 2021 oleh Kementerian Kesehatan Indonesia untuk memantau perjalanan dan status kesehatan.
Tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar, mengatakan bahwa aplikasi tidak memiliki privasi data yang tepat.
Data lebih dari satu juta orang dapat diakses di server dengan terbuka.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” vpnMentor kata tim peneliti dilansir zdnet.
“Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan hingga Google – penyedia hosting eHAC. Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah lain, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus katanya server dimatikan.”
Dalam laporan mereka, para peneliti menjelaskan bahwa orang yang membuat eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos. Termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Data yang bocor tersebut antara lain ID pengguna — mulai dari paspor hingga nomor KTP — serta data dan hasil tes COVID-19, ID rumah sakit, alamat, nomor telepon, nomor ID URN, dan nomor ID rumah sakit URN.
Untuk warga Indonesia terdapat nama lengkap, nomor, tanggal lahir, kewarganegaraan, pekerjaan, dan foto mereka.
Menanggapi itu, Kementerian Kesehatan mengatakan kebocoran diduga terjadi pada aplikasi yang lama dan sudah tidak digunakan lagi sejak 2 Juli 2021 lalu.
“Terkait dengan hal itu kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021,” kata Kepala Pusat Data dan Informasi Kemenkes RI, Annas Maaruf dalam konferensi pers online, Selasa (31/8/2021).
Dia mengatakan sejak saat itu, eHAC sudah terintegrasi dengan Peduli Lindungi. Sistem tersebut diklaim berbeda dengan sistem eHAC yang lama sebelumnya.
Menurutnya terkait masalah kebocoran tersebut juga sedang dilakukan investigasi lebih lanjut.
“Kebocoran tidak terkait dengan eHAC yang ada di Peduli Lindungi. Saat ini tengah dilakukan investigasi lebih lanjut,” kata dia.
Kemungkinan kebocoran data berada di pihak mitra. Hal itu sudah diketahui pemerintah dan melakukan pengamanan aplikasi juga melibatkan Kementerian Kominfo serta pihak berwajib.
Untuk langkah mitigasi, aplikasi eHAC juga lama sudah dinonaktifkan. Sedangkan layanan eHAC masih bisa digunakan melalui Peduli Lindungi.
“Saat ini eHAC tetap dilakukan berada di dalam peduli lindungi, eHAC yang digunakan di dalam aplikasi Peduli Lindungi,” ungkapnya.