Apa Itu Aplikasi eHAC, Fungsi Beserta Manfaatnya?

Tim peneliti dari vpnMentor baru saja mengungkap adanya dugaan kebocoran data dari aplikasi eHAC atau Electronic Health Alert Card. Dalam laporannya, tim peneliti mengungkap apa saja data yang terekspos dalam temuan ini.

Dikutip dari ZDNet, Selasa (31/8/2021), para peneliti menemukan sejumlah informasi infrastruktur di sekitar eHAC juga ikut terekspos. Mulai dari informasi pribadi tentang rumah sakit di Indonesia, termasuk pejabat pemerintah yang menggunakan aplikasi tersebut.

Sementara untuk data pribadi yang diduga bocor adalah identitas pengguna, seperti paspor atau NIK. Lalu ada data dan hasil tes Covid-19, ID rumah sakit, alamat, termasuk nomor telepon. Bahkan untuk pengguna Indonesia, ada nama lengkap, tanggal lahir, kewarganegaraan, hingga foto.

Para peneliti juga menemukan ada data dari 226 rumah sakit dan klinik di seluruh Indonesia, berikut nama orang yang bertanggung jawab melakukan tes pada pengguna, doktor yang melakukan tes, informasi mengenai tes yang dilakukan setiap hari, serta data mengenai tipe pelancong yang diizinkan di rumah sakit.

Tidak hanya itu, basis data yang diduga bocor ini termasuk informasi pribadi orang tua atau kerabat, termasuk detail hotel tujuan mereka dan informasi mengenai kapan akun pengguna eHAC dibuat.

Sejumlah informasi mengenai staf eHAC, seperti nama, nomor ID, nama akun, alamat email, hingga password juga termasuk dalam data yang diduga bocor.

"Seandainya data ditemukan oleh hacker jahat atau kriminal, lalu mengumpulkan data lebih banyak orang, efeknya bisa sangat merusak di tingkat individu dan masyarakat," tulis para penelit dalam laporannya.

Lebih lanjut para peneliti menuliskan, data pengguna eHAC yang diduga bocor ini membuat mereka sangat rentan terhadap serangan dan penipuan. Mengingat ada akses ke informasi pribadi, peretas dapat menargetkan korbannya dalam skema yang lebih sederhan maupun kompleks.

Beberapa hal yang mungkin dilakukan adalah mencuri identitas mereka, melacak mereka, termasuk melakukan penipuan secara langsung. Sementara jika datanya tidak cukup, peretas dapat melancarkan aksi phishing lewat email, SMS, atau panggilan telepon.

"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. eHAC menggunakan database Elasticsearch yang biasanya tidak dirancang untuk penggunaan URL," tulis para peneliti.

Sebagai informasi, temuan ini dilakukan oleh peneliti dari vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar. Dalam temuannya, vpnMentor menyebut eHAC tidak menggunakan protokol privasi yang baik, sehingga data sensitif dari lebih sejuta orang terekspos di open server.

Adapun Noam dan Ran mengatakan, temuan mengenai dugaan kebocoran data eHAC ini merupakan bagian dari upaya mereka untuk mengurangi jumlah kebocoran data dari situs web maupun aplikasi di seluruh dunia.

"Tim kami menemukan catatan eHAC tanpa hambatan berarti, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah menyelidiki database dan memastikannya asli, kami menghubungi Kementerian Kesehatan Indonesia dan memberitahu temuan kami," tulis tim peneliti vpnMentor.

Namun setelah beberapa hari, tidak ada tanggapan mengenai temuan tersebut. Karenanya, vpnMentor lantas menghubungi pihak lain, seperti Indonesia's Computer Emergency Response Team dan Google sebagai penyedia hosting eHAC.

Hanya hingga awal Agustus, tidak ada respons dari pihak-pihak tersebut. Lalu vpnMentor kembali mencoba mengontak institusi lain, termasuk Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021.

Menurut vpnMentor, BSSN langsung merespons laporan mereka di hari yang sama. Dan dua hari kemudian, pada 24 Agustus 2021, server tersebut sudah di-take down.

Dalam laporannya, para peneliti mencatat pengembang eHAC menggunakan database Elasticsearch yang kurang aman untuk menyimpan lebih dari 1,4 juta catatan dari kira-kira 1,3 juta pengguna eHAC.