Data Pengguna E-HAC Kemenkes Kembali Alami Kebocoran

Teknologi merupakan salah satu bukti bahwa perkembangan jaman ini sangatlah cepat. Teknologi sendiri sangat susah untuk dikendalikan, khususnya mengenai keamanan data.

Baru saja bulan Mei yang lalu data BPJS mengalami kebocoran, di akhir Agustus kemarin hal serupa kembali terjadi.

Aplikasi E-HAC yang merupakan aplikasi yang dikembangkan oleh pemerintah kali ini menjadi sasaran kembali.

e-HAC sendiri merupakan salah satu kartu elektronik yang menjadi syarat wajib untuk masyarakat Indonesia bepergian keluar negeri ataupun dalam negeri selama pandemic.

Kabarnya data yang diperkirakan bocor berjumlah 1,3 juta yang dimana mereka adalah pengugnakan e-HAC yang diterbitkan oleh kemenkes, ukuran data tersebut tidak lebih dari 2GB.

Awal mula kejadian ini diungkap oleh tim peneliti keamanan siber VPNMEntor. Tim tersebut diketuai oleh Noam Rotem dan juga Ran Locar.

Mereka mengatakan bahwa awal mula kebocoran tersebut pertama kali ditemukan pada tanggal 15 Juli 2021.

Terdapat beberapa factor, salah satunya adalah tingkat keamanan yang lemah sehingga aplikasi tersebut sangat rentan untuk dibobol.

Apalagi developer dari e-HAC sendiri menggunakan database dari Elasticsearch yang dimana database tersebut digadang-gadang memiliki tingkat keamanan yang kurang baik.

Setelah dugaan awal kebocoran ditemukan, VPNMentor akhirnya menghubungi kemenkes untuk menyampaikan apa yang mereka temukan pada tanggal 21 Juli 2021.

Pada tanggal 26 Juli 2021, VPNMentor kembali menghubungi Kemenkes karena tidak mendapatkan respon. Tim mereka  juga menghubungi ke Indonesia Security Incident Response Team.

Pada 24 Agustus 2021, BSSN melakukan verifikasi, lalu mematikan server e-HAC dan mengonfirmasi ke pihak Kemenkes. Tanggal 25 Agustus, Kemenkes baru menindaklanjuti laporan tersebut dengan mengatasi celah keamanan pada aplikasi e-HAC.

VPNMentor menemukan, dampak kebocoran data aplikasi e-HAC Kemenkes cukup luas. Sebab, tidak hanya pengguna apliaksi e-HAC saja yang kena imbas, tapi juga seluruh infrastruktur terkait e-HAC Kemenkes, rumah sakit, dan pejabat yang menggunakan aplikasi tersebut.

Kabarnya beberapa jenis data yang bocor adalah seperti hasil test covid yang dilakukan penumpang, nomor id, tipe penumpang, alamat, jadwal homevisit , hingga ID dokumen.

Tentunya data umum seperti tempat tinggal, nomor telefon, nama orangtua, dan yang bersifat umum lainnya ikut bocor.

VPNMentor juga menemukan data dari 226 rumah sakit dan klinik di Indonesia yang memuat informasi seperti berapa banyak tes yang dilakukan setiap hari dan jenis penumpang mana yang diperbolehkan di rumah sakit tersebut. Kebocoran data juga memgekspos data staf e-HAC Kemenkes, seperti nomor ID, username akun e-HAC Kemenkes, dan alamat e-mail.

Kepala Pusat Data dan Informasi Kemenkes RI, Anas Maruf mengonfirmasi ada dugaan kebocoran data pengguna aplikasi e-HAC. Anas mengatakan, e-HAC yang terdampak adalah versi lama atau aplikasi terpisah yang masih tersedia di Google Play Store.

Ia menegaskan, dugaan kebocoran data tidak terjadi di layanan e-HAC yang kini sudah terintegrasi dengan aplikasi PeduliLindungi.

“Kebocoran data terjadi di aplikasi e-HAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, atau tepatnya 2 Juli 2021,” kata Anas dalam konferensi pers daring yang disiarkan di YouTube Kemenkes RI, Selasa (31/8/2021) siang.

Anas juga meminta masyarakat untuk menghapus aplikasi e-HAC versi lama yang diunduh melalui toko aplikasi Google Play Store dan App Store.

Masyarakat diminta hanya mengakses e-HAC yang ada di aplikasi PeduliLindungi. Setali tiga uang dengan Anas, Kemenkominfo juga mengonfirmasi bahwa apliaksi e-HAC yang telah terintegrasi dengan PeduliLindungi tidak terdampak dugaan kebocoran data.

Menteri Komunikasi dan Informatika, Johnny G Plate mengklaim e-HAC yang sudah terintegrasi dengan PeduliLindungi masih aman. “E-HAC di PeduliLindungi saat ini masih aman,” kata Johnn

Data Pengguna E-HAC Kemenkes Kembali Alami Kebocoran