Jump to content

Dugaan Kebocoran Data 1,3 Juta Pengguna Aplikasi eHAC


pasmantap

Recommended Posts

  • Premium Account

eHAC.jpg.06cbfbf2fa24376559d741b95d82e06b.jpg

Indonesia kembali dibayang-bayangi kasus pelanggaran data yang 'menelanjangi' informasi sensitif milik masyarakat, pejabat, dan bahkan negara.

Belum tuntas kasus kebocoran data pribadi penduduk Indonesia yang melibatkan BPJS Kesehatan dan dijual di forum online, kini muncul kasus dugaan kebocoran 1,3 juta data pengguna eHAC atau Electronic Health Alert Card yang dikelola Kementerian Kesehatan (Kemenkes)--baru-baru ini diungkap oleh peneliti vpnMentor.

eHAC merupakan aplikasi yang berfungsi untuk melakukan verifikasi (test and trace) penumpang selama berpergian. Aplikasi ini wajib untuk setiap wisatawan dari negara atau wilayah tertentu untuk memastikan mereka tidak membawa virus corona ke Indonesia.

Karena tak hanya melibatkan pengguna lokal, tetapi juga warga negara asing (WNA) yang masuk ke Tanah Air, kasus ini dinilai mencoreng nama Indonesia di mata dunia dan memberikan rapor merah kepada tim IT Kemenkes.

"Kebocoran data eHAC mencoreng nama Indonesia di mata dunia, karena eHAC diwajibkan untuk di-install bagi orang asing yang masuk ke Indonesia," kata Pengamat Keamanan Siber, Alfons Tanujaya, Rabu (1/9/2021).

Ia menilai kasus ini mencoreng nama Indonesia karena pemerintah ingin minta data orang (WNA), tetapi tidak mampu mengamankan dan mengelolanya dengan baik. Pendiri Vaksincom tersebut bahkan tak ragu memberikan rapor merah kepada tim IT Kemenkes yang mendapat informasi tentang dugaan akses pihak ketiga, tetapi tidak memberikan respons selama berminggu-minggu.

"Catatan merah perlu diberikan kepada tim IT Kemenkes yang dikontak, tetapi tidak ada tanggapan hingga berminggu-minggu," tutur Alfons.

Sebagai informasi, peneliti vpnMentor mengaku telah menghubungi Kemenkes untuk memberitahu temuan pelanggaran data ini pada 22 dan 27 Juli 2021 waktu Indonesia. Namun mereka mengklaim tidak mendapatkan tanggapan dari Kemenkes mengenai temuan tersebut.

"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor.

Karena tak mendapat respons dari Kemenkes, VpnMentor lantas menghubungi pihak lain, yaitu Indonesia's Computer Emergency Response Team (CERT) 23 Juli 2021 dan Google sebagai penyedia hosting eHAC pada 26 Juli 2021 waktu Indonesia. Namun, temuan vpnMentor tersebut juga tidak mendapat tanggapan.

Hingga awal Agustus, tidak ada respons dari pihak-pihak tersebut. Lalu vpnMentor kembali mencoba mengontak institusi lain, termasuk Badan Siber dan Sandi Negara (BSSN) pada 23 Agustus 2021 waktu Indonesia.

Menurut vpnMentor, BSSN langsung merespons laporan mereka di hari yang sama. Dua hari kemudian, pada 25 Agustus 2021 waktu Indonesia, server eHAC sudah di-take down. vpnMentor memperkirakan ada lebih dari 1,3 juta pengguna yang bisa menjadi korban kebocoran data ini.

Kepala Pusat Data dan Informasi Kementerian Kesehatan (Kemenkes) Anas Maruf mengakui pihaknya baru merespons temuan vpnMentor pada 23 Agustus 2021, setelah laporan kerentanan kebocoran data eHAC itu diverifikasi BSSN. Meski begitu, Anas tidak menjelaskan kenapa saat vpnMentor memberitahu temuannya pihak Kemenkes tidak langsung menanggapi.

Setelah mendapat pemberitahuan dari BSSN, Kemenkes baru kemudian melakukan penelusuran dan menemukan kerentanan tersebut pada platform mitra eHAC. "Kementerian Kesehatan langsung melakukan tindakan dan kemudian dilakukan perbaikan-perbaikan pada sistem tersebut," ungkap Anas.

Edited by pasmantap
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...