1,3 Juta Data Pengguna Aplikasi eHAC Kemenkes Dilaporkan Bocor
PerbesarADVERTISEMENT
Tim peneliti vpnMentor, perusahaan keamanan siber, menemukan pelanggaran data yang melibatkan aplikasi eHAC milik Kementerian Kesehatan (Kemenkes ) untuk mencegah dan mengendalikan persebaran COVID-19, terutama dari luar negeri. Rupanya, aplikasi eHAC ini tersimpan dalam server yang mudah diakses oleh siapa pun.
ADVERTISEMENT
Tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar menemukan aplikasi eHAC tidak memiliki keamanan privasi data yang tepat. Alhasil, bisa mengekspos data sensitif milik 1,3 juta penggunanya melalui server terbuka.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.
"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," kata tim peneliti vpnMentor, seperti dikutip ZDnet.
Jenis data eHAC Kemenkes yang bocor
Peneliti vpnMentor menyebut data yang bisa diakses beragam, mulai dari identitas pribadi, alamat, nomor telepon, informasi perjalanan, rekam medis, hingga status COVID-19. Total data yang terekspos lebih dari 1,4 juta dengan ukuran mencapai 2 GB.
ADVERTISEMENT
Adapula data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan setiap hari, dan data tentang jenis pelancong seperti apa yang diperbolehkan di rumah sakit.
Basis data yang bocor bahkan memiliki informasi pribadi untuk orang tua atau kerabat wisatawan serta detail hotel mereka dan informasi lain tentang kapan akun eHAC dibuat. Bahkan anggota staf eHAC memiliki nama, NIK, nama akun, alamat email, dan kata sandi yang bocor.
Peneliti mengingatkan data pada eHAC bisa disalah gunakan untuk kejahatan, seperti penipuan, peretasan, hingga disinformasi. Selain itu, jika data ini tidak cukup, hacker dapat menggunakannya untuk menargetkan korban phishing melalui email, teks, atau panggilan telepon.
ADVERTISEMENT
"Seandainya data ditemukan oleh hacker jahat atau kriminal, dan dibiarkan mengakumulasi data pada lebih banyak orang, efeknya bisa sangat merusak pada tingkat individu dan masyarakat," ujar para peneliti.
Perbaikan data eHAC Kemenkes yang lamban
Dalam laporan vpnMentor terlihat proses penyelesaian perbaikan sistem keamanan eHAC yang ditemukan. Dalam timeline yang diberikan, pihak Kemenkes tidak menanggapi laporan mereka.
VpnMentor menemukan database eHAC yang terekspos tanpa keamanan pada 15 Juli 2021. Peneliti kemudian melaporkan Kemenkes terkait temuannya pada 21 Juli 2021. Karena laporannya tidak direspons, mereka kembali kontak Kemenkes pada 26 Juli 2021, yang lagi-lagi tak ditanggapi.
"Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi Indonesia Computer Emergency Response Team (ID-CERT) dan akhirnya, Google, penyedia hosting eHAC. Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara)," tulis peneliti dalam laporannya .
ADVERTISEMENT
Setelah melalui BSSN, penindakan baru terjadi pada 24 Agustus 2021 dengan mematikan server eHAC. kumparan telah mencoba melakukan konfirmasi kepada Kemenkes dan Kementerian Komunikasi dan Informatika (Kominfo) terkait hal ini. Hingga berita ini ditulis, kedua pihak belum memberikan pernyataan resmi.
