8 Fakta Kasus Dugaan Kebocoran Data 1,3 Juta Pengguna eHAC

Peneliti dari vpnMentor baru saja mengungkap adanya dugaan kebocoran data 1,3 juta pengguna aplikasi Electronic Health Alert Card atau eHAC.

Dikutip dari ZDNet, Selasa (31/8/2021), temuan ini dilakukan oleh peneliti dari vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar.

Dalam temuannya, vpnMentor menyebut eHAC tidak menggunakan protokol privasi yang baik, sehingga data sensitif dari lebih sejuta orang terekspos di open server.

Adapun Noam dan Ran mengatakan, temuan mengenai dugaan kebocoran data eHAC ini merupakan bagian dari upaya mereka untuk mengurangi jumlah kebocoran data dari situs web maupun aplikasi di seluruh dunia.

"Tim kami menemukan catatan eHAC tanpa hambatan berarti, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah menyelidiki database dan memastikannya asli, kami menghubungi Kementerian Kesehatan Indonesia dan memberitahu temuan kami," tulis tim peneliti vpnMentor.

Namun setelah beberapa hari, tidak ada tanggapan mengenai temuan bocornya data eHAC tersebut.

Karenanya, vpnMentor lantas menghubungi pihak lain, seperti Indonesia's Computer Emergency Response Team dan Google sebagai penyedia hosting eHAC.

Hanya hingga awal Agustus, tidak ada respons dari pihak-pihak tersebut. Lalu vpnMentor kembali mencoba mengontak institusi lain, termasuk Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021.

Menurut vpnMentor, BSSN langsung merespons laporan mereka di hari yang sama. Dan dua hari kemudian, pada 24 Agustus 2021, server tersebut sudah di-take down.

Dalam laporannya, para peneliti mencatat pengembang eHAC menggunakan database Elasticsearch yang kurang aman untuk menyimpan lebih dari 1,4 juta catatan dari kira-kira 1,3 juta pengguna eHAC.

Kementerian Kesehatan (Kemenkes) Republik Indonesia angkat bicara terkait adanya dugaan kebocoran 1,3 juta data pengguna aplikasi eHAC.

Anas Ma'ruf Kepala Pusat Data dan Informasi Kemenkes RI menyebut dugaan kebocoran data tersebut terjadi pada aplikasi eHAC yang lama. Ia mengatakan aplikasi itu sudah tidak digunakan sejak 2 Juli 2021.

"Sejak tanggal 2 Juli 2021, kami sudah mulai aplikasi PeduliLindungi, di mana eHAC sudah terintegrasi dan berada di dalam aplikasi PeduliLindungi," kata Anas.

Setelah eHAC Kementerian Kesehatan tak digunakan, pemerintah beralih pada eHAC yang tergabung dalam PeduliLindungi.

Penggunaan PeduliLindungi dimulai sejak 2 Juli 2021 berdasarkan surat edaran dari Kementerian Kesehatan Nomor: HK.02.01/MENKES/847/2021 Tentang Digitalisasi Dokumen Kesehatan Bagi Pengguna Transportasi Udara.

"Sekali lagi saya tegaskan, sistem yang ada di eHAC yang lama itu berbeda dengan sistem e-HAC yang tergabung di dalam PeduliLindungi. Infrastrukturnya berbeda juga berada di tempat lain," papar Anas.

Anas mengatakan, Kementerian Komunikasi dan Informatika bersama penegak hukum tengah menginvestigasi kasus kebocoran data pengguna pada eHAC Kementerian Kesehatan sesuai amanat Peraturan Pemerintah Nomor 71 Tahun 2019 Tentang Penyelenggaraan Sistem Transaksi Elektronik.

Dia menduga, kebocoran data tersebut bukan disebabkan mitra eHAC Kementerian Kesehatan.

"Sebagai langkah mitigasi, maka eHAC yang lama sudah dinonaktifkan. Dan saat ini, eHAC tetap dilakukan tetapi berada dalam PeduliLindungi. Sekali lagi eHAC yang digunakan adalah eHAC yang berada dalam aplikasi PeduliLindungi," ucap Anas.

Anas lantas meminta masyarakat untuk menghapus aplikasi eHAC lama yang ada di handphone.

Pasalnya, kata dia, Kemenkes mengatakan dugaan kebocoran data masyarakat dan pejabat berasal dari aplikasi eHAC lama.

"Pemerintah juga meminta kepada masyarakat untuk menghapus, menghilangkan, mendelete atau uninstall aplikasi eHAC yang lama, yang terpisah," papar Anas.

Anas mengatakan, data eHAC PeduliLindungi berada di Pusat Data Nasional.

"Ketika sudah ada di Pusat Data Nasional di bawah Kementerian Kominfo, maka ini bersama-sama diamankan oleh Kementerian dan Lembaga yang terkait," kata Anas.

Ia mengatakan, upaya menjaga keamanan data di Pusat Data Nasional juga dilakukan oleh Kementerian Komunikasi dan Informatika (Kominfo) bersama dengan Badan Siber dan Sandi Negara (BSSN).

Menurut Anas, data pengguna eHAC di aplikasi yang lama tidak terintegrasi dengan data eHAC di PeduliLindungi.

"Data eHAC yang lama tidak terhubung dengan data yang ada di PeduliLindungi," tegas Anas.

Kementerian Komunikasi dan Informatika (Kemkominfo) belum banyak bicara soal dugaan kebocoran data yang terjadi di aplikasi eHAC.

Juru Bicara Kemkominfo Dedy Permadi hanya menyebut bahwa mereka masih melakukan investigasi dugaan kebocoran data pengguna eHAC lawas tersebut.

"Sedang kami investigasi," jawab Dedy lewat pesan singkat saat dihubungi Tekno Liputan6.com, Selasa (31/8/2021).

Selain itu, Polri pun turut menyelidiki kasus dugaan kebocoran data 1,3 juta pengguna aplikasi eHAC tersebut.

"Polri bantu lidik, Tim Cyber bekerja," kata Kadiv Humas Polri Irjen Raden Prabowo Argo Yuwono dalam keterangannya.

(Deni Koesnaedi)