Kominfo Investigasi Dugaan Kebocoran Data 1,3 Juta Pengguna Aplikasi eHAC
·waktu baca 3 menit
PerbesarKementerian Komunikasi dan Informatika (Kominfo) ikut turun tangan melakukan investigasi dugaan kebocoran data eHAC atau Indonesian Health Alert Card yang dikelola oleh Kementerian Kesehatan (Kemenkes). Setidaknya dalam kebocoran data tersebut 1,3 juta data pengguna terekspos di internet.
Juru Bicara Kementerian Kominfo, Dedy Permadi, menjelaskan Kominfo sudah bertemu dengan Kemenkes dan Badan Siber dan Sandi Negara (BSSN) pada Selasa (31/8). Berdasarkan hasil penelusuran sementara, memang ada dugaan data eHAC bocor terjadi di aplikasi versi lama yang dinonaktifkan sejak 2 Juli.
"Sebagai tindak lanjut dari pertemuan tersebut, Kementerian Kominfo bersama dengan pihak-pihak terkait akan melanjutkan investigasi lebih mendalam terhadap dugaan insiden kebocoran data pribadi pada aplikasi eHAC," kata Dedy dalam pernyataan resmi.
Dedy menegaskan dugaan insiden kebocoran data pribadi ini, tidak mempengaruhi keamanan data pada aplikasi eHAC yang terintegrasi dengan aplikasi PeduliLindungi, di mana penyimpanan data telah dilakukan di Pusat Data Nasional (PDN). Untuk itu, masyarakat diminta untuk menghapus atau uninstall aplikasi eHAC milik Kemenkes dari perangkat mereka.
Sebelumnya, Anas Ma’ruf, Kepala Pusat Data dan Informasi Kemenkes mengakui adanya dugaan data eHAC bocor di aplikasi versi lama. Kebocoran diklaim terjadi di pihak mitra Kemenkes yang identitasnya tidak dijelaskan.
"Ini kemungkinan, diakibatkan kebocoran di pihak mitra. Ini sudah diketahui oleh pemerintah," ucap Anas saat konferensi pers virtual, Selasa (31/8).
Kronologi dugaan kebocoran data 1,3 juta pengguna aplikasi eHAC Kemenkes
Kasus dugaan data pengguna eHAC bocor pertama kali diungkap dalam laporan tim peneliti vpnMentor, yang digawangi oleh Noam Rotem dan Ran Locar. Mereka mempublikasikan hasil temuan terkait terjadinya kerentanan sistem keamanan pada aplikasi eHAC yang dikelola oleh Kemenkes.
Lebih lanjut lagi, vpnMentor menyampaikan kerentanan kebocoran data aplikasi eHAC terjadi karena pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai. Alhasil, bisa mengekspos data sensitif lebih dari satu juta orang melalui server terbuka.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.
"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," kata tim peneliti vpnMentor dikutip ZDnet.
Temuan adanya kebocoran data pribadi databases aplikasi e-HAC ini pertama kali diketahui vpnMentor pada 15 Juli 2021. Mereka berusaha menginformasikan kepada Kemenkes pada 21 dan 26 Juli 2021, tetapi tidak ditanggapi. Tindak lanjut dan penanggulangan kebocoran data aplikasi eHAC baru dilakukan 1 bulan kemudian, pada 24 Agustus 2021, ketika vpnMentor menginformasikan temuannya kepada Badan Siber dan Sandi Negara (BSSN).
Adapun ruang lingkup data pribadi yang bocor mencakup: data hasil tes Covid-19 (termasuk ke dalam kategori data sensitif), data akun e-HAC, data rumah sakit, data pribadi pengguna e-HAC (NIK/paspor, nama lengkap, nomor telp, tanggal lahir, jenis kelamin, alamat, nama orang tua, dst), dan data petugas pengelola eHAC.