PROGRAM EHAC MENGALAMI KEBOCORAN DATA, INI RESPON KEMENKES
Kemenkes berdalih bahwa kebocoran data yang terjadi hingga mencapai 1,3 juta pengguna hanya baru dugaan saja dan terjadi pada sistem eHAC yang lama.
Dilansir dari vpnMentor.com, dipimpin oleh Noam Rotem dan Ran Locar, tim peneliti dari vpnMentor.com menemukan pelanggaran data dalam program eHAC pemerintah Indonesia yang dibuat untuk mengatasi penyebaran pandemi COVID-19 di Indonesia. eHAC adalah aplikasi ‘test and trace’ bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus ke negara tersebut.
Aplikasi ini didirikan pada tahun 2021 oleh Kementerian Kesehatan Indonesia. Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server publik.
Apa Itu eHAC?
Pemerintah Indonesia, melalui Kementerian Kesehatan, memperkenalkan Electronic Health Alert Card (eHAC) untuk membantu memerangi penyebaran COVID-19 di dalam negeri. eHACi merupakan syarat wajib bagi setiap wisatawan yang masuk ke Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing. Ini juga diperlukan untuk penerbangan domestik di Indonesia.
Aplikasi eHAC diunduh ke perangkat seluler penumpang dan menyimpan status kesehatan terkini mereka, data Personally Identifiable Information (PII), detail kontak, hasil tes COVID-19, dan banyak lagi.
Temuan Kebocoran Data
Database yang terpapar pertama kali ditemukan pada 15 Juli 2021 oleh tim vpnMentor. Tim keamanan cyber vpnMentor menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
Tim ini menemukan records atas eHAC tanpa hambatan, hal ini dikarenakan minimnya protokol yang diterapkan oleh tim app developer. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, mereka kemudian menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuannya pada 21 Juli 2021. Setelah beberapa hari tanpa jawaban dari Kementerian, mereka menghubungi Tim Tanggap Darurat Komputer Indonesia (ID-CERT) yang mana merupakan lembaga pemerintah yang bertanggung jawab untuk menangani insiden keamanan siber di negara ini dan, akhirnya, Google sebagai penyedia hosting eHAC.
Developer eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.
Records ini tidak hanya mengekspos pengguna, sehingga kebocoran data ini mengekspos seluruh infrastruktur di sekitar eHAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut. Seperti misalnya, dalam kebocoran ini data dari 226 rumah sakit dan klinik di Indonesia terpapar termasuk data pasien yang berisikan Nomor Induk Kependudukan hingga nomor telepon.
Respon Kemenkes
Pada hari ini, Kemenkes mengadakan Keterangan Pers virtual melalui kanal youtube-nya, mengklarifikasi bahwa dugaan kebocoran tersebut terjadi pada aplikasi eHAC yang lama. Sedangkan, saat ini aplikasi tersebut sudah terintegrasi dengan aplikasi PeduliLindungi sejak 2 Juli lalu.
“Kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021, sesuai dengan Surat Edaran dari Kemenkes No. HK/02/01/Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi penggunaan transportasi udara yang terintegrasi dengan PeduliLindungi,” jelas Kepala Pusat Data dan Informasi Kemenkes, Anas Ma’ruf, dalam keterangan pers tersebut.
Selain itu, Anas juga menekankan bahwa kebocoran ini tidak ada kaitannya dengan aplikasi PeduliLindungi. Sehingga, Anas meminta kepada masyarakat untuk menghapus aplikasi eHAC yang lama dan mengunduh PeduliLindungi saja.
Anas juga menyampaikan bentuk upaya pencegahan yang dilakukan, yakni dengan melibatkan Kemkominfo maupun lembaga terkait lainnya dengan amanat Peraturan Pemerintah Nomor 17 tahun 2017 tentang penyelenggaraan sistem dan transaksi elektronik.
Kemenkes juga bersikukuh bahwa kebocoran data ini hanya baru dugaan saja. Mereka berdalih bahwa sebuah insiden kebocoran baru 100% dapat dikatakan bocor ketika sudah ada hasil audit digital forensik.
MAL
