Technologue.id, Jakarta - Data publik pada aplikasi electronic Health Alert Card (eHAC) milik Kementerian Kesehatan (Kemenkes) diduga bocor. Temuan ini berasal dari laporan tim peneliti vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar.
Dilansir dari situs vpnmentor (30/8/2021), tim ini menemukan pelanggaran data dalam program eHAC Kemenkes pemerintah Indonesia yang dibuat untuk mengatasi penyebaran pandemi COVID-19 di Indonesia.
eHAC merupakan aplikasi 'test and trace' bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus ke negara tersebut.
Baca Juga:
279 Juta Data Peserta Bocor, BPJS Kesehatan Bakal Digugat
Kartu Kewaspadaan Kesehatan ini dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Aplikasi ini diluncurkan pada tahun 2021 oleh Kemenkes Indonesia. Pemerintah Indonesia memperkenalkan eHAC untuk membantu memerangi penyebaran COVID-19 di dalam negeri.
Ini merupakan syarat wajib bagi setiap wisatawan yang masuk ke Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing. Ini juga diperlukan untuk penerbangan domestik di Indonesia.
Aplikasi eHAC diunduh ke perangkat seluler penumpang dan menyimpan status kesehatan terkini mereka, data Personally Identifiable Information (PII), detail kontak, hasil tes COVID-19, dan banyak lagi.
Namun, developer aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server terbuka.
Baca Juga:
Kominfo Sebut Jutaan Data Penduduk yang Bocor Identik dengan Data BPJS
Tim vpnMentor menilai catatan eHAC memiliki protokol keamanan yang lemah. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, vpnMentor menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan tersebut.
Namun para peneliti tidak mendapat respon apa-apa dari pihak pemerintah.
"Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT Indonesia dan, akhirnya, Google – penyedia hosting eHAC. Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada tanggal 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan," tulis tim peneliti vpnMentor.
Berikut ini adalah rincian dari berbagai jenis data:
Catatan yang disimpan dalam database eHAC berpotensi memungkinkan peretas mengakses aplikasi secara langsung dan mengubah data penumpang, termasuk hasil tes COVID-19 mereka. Mengingat skala catatan yang terungkap dan jumlah orang yang diuji, tindakan seperti itu dapat merusak respons Indonesia terhadap pandemi.
Selain mengubah catatan pada aplikasi, peretas juga dapat menggunakan basis data untuk menyerangnya dengan berbagai virus dan perangkat lunak berbahaya, termasuk ransomware – alat yang semakin populer di kalangan geng cyber kriminal.