Raport Merah Pengamanan 1,3 Juta Data eHAC

Keluar-Masuk Jakarta Wajib Swab Antigen — Calon penumpang mengisi data validasi melalui aplikasi eHAC di Bandara Halim Perdanakusuma, Jakarta, Kamis (17/12/2020). Penumpang yang ingin keluar masuk Jakarta wajib menunjukkan hasil swab antigen untuk menekan angka corona meski ada libur Natal dan Tahun Baru. (merdeka.com/Iqbal Nugroho)

Liputan6.com, Jakarta - Data 1,3 juta pengguna aplikasi electronic-Health Alert Card (eHAC) milik Kementerian Kesehatan (Kemenkes) diduga bocor. Polri pun turut menyelidiki kasus tersebut.

"Polri bantu lidik, Tim Cyber bekerja," kata Kadiv Humas Polri, Irjen Raden Prabowo Argo Yuwono dalam keterangannya, Selasa (31/8/2021).

Dugaan kebocoran data pengguna eHAC awalnya diungkap oleh vpnMentor. Menurut peneliti mereka, Noam Rotem dan Ran Locar, aplikasi tersebut tidak membuat proteksi data yang baik. Akibatnya, data sensitif dari sejuta lebih penggunanya bocor di open server.

"Kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah menyelidiki database dan memastikannya asli, kami menghubungi Kementerian Kesehatan Indonesia dan memberitahu temuan kami," tulis tim peneliti vpnMentor, seperti diberitakan ZDNet.

Sayangnya, menurut peneliti vpnMentor, pihaknya tidak mendapat respons baik dari pihak terkait.

Akhirnya, demi mencegah dampak yang lebih masif lagi, vpnMentor pun menghubungi Indonesia's Computer Emergency Response Team dan Google sebagai penyedia hosting eHAC.

Kementerian Kesehatan (Kemenkes) meminta masyarakat untuk menghapus aplikasi Electronic Health Alert (eHAC) lama yang ada di ponselnya. Pasalnya, Kemenkes mengatakan dugaan kebocoran data masyarakat dan pejabat berasal dari aplikasi eHAC lama.

"Pemerintah juga meminta kepada masyarakat untuk menghapus, menghilangkan, mendelete atau uninstall aplikasi eHAC yang lama, yang terpisah," jelas Kepala Pusat Data dan Informasi Kemenkes Anas Ma'ruf dalam konferensi pers, Selasa (31/8/2021).

Dia meminta masyarakat untuk menggunakan aplikasi PeduliLindungi serta memanfaatkan fitur eHAC untuk perjalanan dinas. Anas memastikan bahwa eHAC yang ada di aplikasi PeduliLindungi terjamin pengamanannya.

"Perlu saya sampaikan bahwa untuk eHAC yang berada di Pedulilindungi, servernya, infrastrukturnya berada di pusat data nasional. Dan terjamin pengamanannya dengan didukung lembaga terkait, yakni Kominfo maupun juga BSSN (Badan Siber dan Sandi Negara)," katanya.

"Ini satu paket di mana seluruh sistem informasi yang terkait dengan pengendalian Covid-19 maka seluruh sistemnya akan dipindahkan ke dalam pusat data nasional," sambung Anas.

Sebelumnya, Anas menjelaskan, sebetulnya data pengguna yang bocor terjadi pada aplikasi eHAC Kementerian Kesehatan, bukan PeduliLindungi. eHAC Kementerian Kesehatan tidak lagi digunakan sejak 2 Juli 2021.

"Kebocoran data terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021," kata dia dalam konferensi pers, Selasa.

Setelah eHAC Kemenkes tak digunakan, pemerintah beralih pada eHAC yang tergabung dalam PeduliLindungi. Penggunaan eHAC PeduliLindungi dimulai sejak 2 Juli 2021 berdasarkan surat edaran Nomor: HK.02.01/MENKES/847/2021 Tentang Digitalisasi Dokumen Kesehatan Bagi Pengguna Transportasi Udara.

"Sekali lagi saya tegaskan, sistem yang ada di eHAC yang lama itu berbeda dengan sistem e-HAC yang tergabung di dalam PeduliLindungi. Infrastrukturnya berbeda juga berada di tempat lain," tegasnya.

** #IngatPesanIbu

Pakai Masker, Cuci Tangan Pakai Sabun, Jaga Jarak dan Hindari Kerumunan.

Selalu Jaga Kesehatan, Jangan Sampai Tertular dan Jaga Keluarga Kita.

#sudahdivaksintetap 3m #vaksinmelindungikitasemua

Waspada data diri bocor jika cetak kartu vaksin sembarangan, Kemendag blokir lebih dari 20.000 penyedia jasa cetak kartu vaksin di e-commerce.

2 dari 3 halaman

Deretan Data yang Terekspose

Dikutip dari ZDNet, Selasa (31/8/2021), para peneliti menemukan sejumlah informasi infrastruktur di sekitar eHAC juga ikut terekspos. Mulai dari informasi pribadi tentang rumah sakit di Indonesia, termasuk pejabat pemerintah yang menggunakan aplikasi tersebut.

Sementara untuk data pribadi yang diduga bocor adalah identitas pengguna, seperti paspor atau NIK. Lalu ada data dan hasil tes Covid-19, ID rumah sakit, alamat, termasuk nomor telepon. Bahkan untuk pengguna Indonesia, ada nama lengkap, tanggal lahir, kewarganegaraan, hingga foto.

Para peneliti juga menemukan ada data dari 226 rumah sakit dan klinik di seluruh Indonesia, berikut nama orang yang bertanggung jawab melakukan tes pada pengguna, doktor yang melakukan tes, informasi mengenai tes yang dilakukan setiap hari, serta data mengenai tipe pelancong yang diizinkan di rumah sakit.

Tidak hanya itu, basis data yang diduga bocor ini termasuk informasi pribadi orang tua atau kerabat, termasuk detail hotel tujuan mereka dan informasi mengenai kapan akun pengguna eHAC dibuat.

Sejumlah informasi mengenai staf eHAC, seperti nama, nomor ID, nama akun, alamat email, hingga password juga termasuk dalam data yang diduga bocor.

"Seandainya data ditemukan oleh hacker jahat atau kriminal, lalu mengumpulkan data lebih banyak orang, efeknya bisa sangat merusak di tingkat individu dan masyarakat," tulis para penelit dalam laporannya.

Lebih lanjut para peneliti menuliskan, data pengguna eHAC yang diduga bocor ini membuat mereka sangat rentan terhadap serangan dan penipuan. Mengingat ada akses ke informasi pribadi, peretas dapat menargetkan korbannya dalam skema yang lebih sederhan maupun kompleks.

Beberapa hal yang mungkin dilakukan adalah mencuri identitas mereka, melacak mereka, termasuk melakukan penipuan secara langsung. Sementara jika datanya tidak cukup, peretas dapat melancarkan aksi phishing lewat email, SMS, atau panggilan telepon.

"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. eHAC menggunakan database Elasticsearch yang biasanya tidak dirancang untuk penggunaan URL," tulis para peneliti.

3 dari 3 halaman

Coreng Indonesia

Pakar Keamanan Siber Alfons Tanujaya mengungkapkan, kebocoran data eHAC mencoreng nama Indonesia di mata dunia.

"Kebocoran data eHAC mencoreng nama Indonesia di mata dunia, karena eHAC diwajibkan untuk diinstal bagi orang asing yang masuk ke Indonesia," tutur Alfons kepada Tekno Liputan6.com, Selasa (31/8/2021),

Menurut Alfons, dengan mewajibkan pengguna untuk menginstal dan menggunakan eHAC, artinya pihak penyedia layanan eHAC, dalam hal ini Kementerian Kesehatan, menyatakan bertanggung jawab dan mampu mengamankan informasi yang diberikan.

"Yang jelas ini mencoreng nama Indonesia, karena mau minta data orang tetapi tidak mampu mengamankan dan mengelola dengan baik," tuturnya.

Menurut Alfons, jika ada peretas jahat dan mengubah hasil tes, bisa berdampak menambah kekacauan di masa pandemi.

Ia juga memberikan nilai merah kepada tim IT Kemenkes yang mendapat informasi tentang dugaan akses pihak ketiga, tetapi tidak memberikan respons selama berminggu-minggu.

"Catatan merah perlu diberikan kepada tim IT Kemenkes yang dikontak tetapi tidak ada tanggapan hingga berminggu-minggu," tutur Alfons.

Dalam keterangannya, pihak peneliti vpnMentor menyatakan telah menghubungi Kementerian Kesehatan Indonesia untuk memberitahukan temukan ini. Namun mereka mengklaim, sudah beberapa hari tidak mendapatkan tanggapan mengenai temuan tersebut.

VpnMentor pun lantas menghubungi pihak lain, dalam hal ini Indonesia's Computer Emergency Response Team (CERT) dan Google sebagai penyedia hosting eHAC. Namun, CERT juga tidak memberikan tanggapan.

"Demikian juga CERT Indonesia yang dikontak dan diinformasikan tetapi tidak memberikan tanggapan sama sekali," kata Alfons.

Alfons menyebut, database yang ada di dalam eHAC adalah data penting namun diumbar di internet tanpa enkripsi.

Terkait masalah hal ini, menurut pendiri Vaksincom, menyimpan database di internet adalah kesalahan. Apalagi jika data tersebut tidak terenkripsi.

Alfons menekankan, pengembang eHAC perlu dimintai penjelasan mengapa pihaknya menyimpan data di internet tanpa enkripsi. Menurutnya, hal inilah yang membuat data bisa diambil alih oleh pihak ketiga, termasuk akun admin pengelola data.

Menurutnya, terlepas dari aplikasi eHAC lama atau baru yang datanya diduga bocor, pengelola data mestinya bertanggung jawab untuk mengamankan data.