Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi

Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi

Blog Single

Tak lama setelah dari kasus kebocoran data BPJS pada Mei lalu, akhir Agustus ini muncul lagi kasus kebocoran data dari layanan aplikasi yang dikembangkan pemerintah.

Aplikasi Electronic Health Alert Card (e-HAC) yang dikembangkan oleh Kementerian Kesehatan (Kemenkes), diduga mengalami kebocoran data.

e-HAC adalah kartu elektronik yang menjadi syarat wajib bagi warga yang hendak bepergian di dalam maupun luar negeri, selama pandemi Covid-19.

Diperkirakan, 1,3 juta pengguna aplikasi e-HAC Kemenkes terdampak kebocoran data. Ukuran data itu lebih kurang mencapai 2 GB.

Kronologi

Informasi ini pertama kali diungkap oleh peneliti keamanan siber VPNMentor. Tim peneliti yang dikepalai Noam Rotem dan Ran Locar menyebutkan, kasus kebocoran data aplikasi e-HAC ditemukan pada 15 Juli 2021.

Lemahnya protokol keamanan di aplikasi e-HAC Kemenkes membuat platform itu rentan dibobol. Apalagi, pengembang aplikasi disebut menggunakan database Elasticsearch yang diklaim kurang aman untuk menyimpan data.

Setelah menemukan dugaan kebocoran data di apliaksi e-HAC, VPNMentor kemudian menghubungi Kemenkes untuk menyampaikan temuannya pada 21 Juli 2021. Mereka juga menginformasikan kebocoran data kepada Google selaku penyedia hosting.

Pada 26 Juli, VPNMentor kembali menghubungi Kemenkes karena tak kunjung mendapat respons. VPNMentor juga meneruskan laporan yang sama ke Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) pada 16 Agustus dan Badan Siber dan Sandi Negara pada 22 Agustus.

Pada 24 Agustus 2021, BSSN melakukan verifikasi, lalu mematikan server e-HAC dan mengonfirmasi ke pihak Kemenkes. Tanggal 25 Agustus, Kemenkes baru menindaklanjuti laporan tersebut dengan mengatasi celah keamanan pada aplikasi e-HAC.

Data yang bocor

VPNMentor menemukan, dampak kebocoran data aplikasi e-HAC Kemenkes cukup luas. Sebab, tidak hanya pengguna apliaksi e-HAC saja yang kena imbas, tapi juga seluruh infrastruktur terkait e-HAC Kemenkes, rumah sakit, dan pejabat yang menggunakan aplikasi tersebut.

Beberapa jenis data yang diduga bocor adalah tes Covid-19 yang dilakukan penumpang, termasuk nomor ID dan tipe penumpang, alamat dan jadwal home visit, jenis tes (PCR/rapid antigen), hasil tes, hingga ID dokumen e-HAC

Selain itu, data penumpang seperti nomor ID, nama lengkap, nomor ponsel, pekerjaan, gender, paspor, foto profil yang dilampirkan ke akun e-HAC, data orangtua atau kerabat penumpang, hingga detail akun e-HAC juga ikut terekspos.

VPNMentor juga menemukan data dari 226 rumah sakit dan klinik di Indonesia yang memuat informasi seperti berapa banyak tes yang dilakukan setiap hari dan jenis penumpang mana yang diperbolehkan di rumah sakit tersebut.

Kebocoran data juga memgekspos data staf e-HAC Kemenkes, seperti nomor ID, username akun e-HAC Kemenkes, dan alamat e-mail.

Versi lama

Kepala Pusat Data dan Informasi Kemenkes RI, Anas Maruf mengonfirmasi ada dugaan kebocoran data pengguna aplikasi e-HAC. Anas mengatakan, e-HAC yang terdampak adalah versi lama atau aplikasi terpisah yang masih tersedia di Google Play Store.

Ia menegaskan, dugaan kebocoran data tidak terjadi di layanan e-HAC yang kini sudah terintegrasi dengan aplikasi PeduliLindungi.

"Kebocoran data terjadi di aplikasi e-HAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, atau tepatnya 2 Juli 2021," kata Anas dalam konferensi pers daring yang disiarkan di YouTube Kemenkes RI, Selasa (31/8/2021) siang.

Aplikasi e-HAC mulanya memang berdiri secara terpisah. Sejak Juli lalu, Kementerian Komunikasi dan Informatika (Kemenkominfo) mengumumkan intergasi e-HAC Kemenkes di aplikasi PeduliLindungi, untuk memudahkan petugas bandara mengecek penumpang sebelum melakukan check-in.

Anas mengklaim, server yang digunakan aplikasi e-HAC lama berbeda dengan server yang dipakai setelah terintegrasi dengan PeduliLIndungi. Menurutnya, e-HAC versi lama yang diduga terdampak kebocoran data, servernya belum berada di Pusat Data Nasional.

Sementara e-HAC Kemenkes yang sudah terintegrasi dengan PeduliLindungi, servernya sudah berada di Pusat Data Nasional.

"Sehingga dugaan kebocoran data di aplikasi e-HAC yang lama kemungkinan diakibatkan adanya dugaan kebocoran di pihak mitra," kata Anas.

Hapus aplikasi e-HAC lama

Anas juga meminta masyarakat untuk menghapus aplikasi e-HAC versi lama yang diunduh melalui toko aplikasi Google Play Store dan App Store. Masyarakat diminta hanya mengakses e-HAC yang ada di aplikasi PeduliLindungi.

Setali tiga uang dengan Anas, Kemenkominfo juga mengonfirmasi bahwa apliaksi e-HAC yang telah terintegrasi dengan PeduliLindungi tidak terdampak dugaan kebocoran data.

Menteri Komunikasi dan Informatika, Johnny G Plate mengklaim e-HAC yang sudah terintegrasi dengan PeduliLindungi masih aman.

"E-HAC di PeduliLindungi saat ini masih aman," kata Johnny.

Dampak Kebocoran

Menurut VPNMentor, kebocoran data aplikasi e-HAC Kemenkes akan berdampak luas bagi penggunaan apliaksi tersebut dan upaya pemerintah dalam menangani pandemi Covid-19.

Dari sisi pengguna, data yang dikumpulkan oleh pihak yang tidak berhak membuat pengguna rentan terhadap serangan peretasan dan penipuan.

Database e-HAC juga berpotensi membuka pintu bagi peretas untuk mengakses aplikasi secara langsung, sehingga peretas bisa mengubah data penumpang, termasuk hasil tes Covid-19.

"Mengingat skala data yang terungkap dan jumlah orang yang dites, aksi semacam itu bisa merugikan respons Indonesia terhadap pandemi," tulis VPNMentor dalam blog resminya.

Artikel ini telah tayang di Kompas.com dengan judul "Merunut Kebocoran Data E-HAC Kemenkes, dari Kronologi hingga Hapus Aplikasi", Klik untuk baca: https://tekno.kompas.com/read/2021/09/01/10020037/merunut-kebocoran-data-e-hac-kemenkes-dari-kronologi-hingga-hapus-aplikasi?page=3.
Penulis : Wahyunanda Kusuma Pertiwi
Editor : Reska K. Nistanto

 

Related Posts: