Laporan Wartawan Tribunnews, Larasati Dyah Utami
TRIBUNNEWS.COM, JAKARTA – Aplikasi eHAC (Indonesia Health Alert Card), aplikasi Covid-19 Pemerintah Indonesia, diduga telah bocor dan tak sengaja mengekspos lebih dari 1 juta data pribadi orang dalam aplikasi tersebut.
Kabar kebocoran data massal di aplikasi eHAC ini mengacu pada laporan artikel yang diterbitkan vpnmentor.com hari Senin (30/8/2021).
Tim peneliti vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar, menemukan pelanggaran data dalam program eHAC Indonesia yang dibuat untuk mengatasi penyebaran pandemi Covid-19 di negara ini.
Aplikasi eHAC atau electronic health alert card adalah aplikasi 'test and trace' bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus ke negara tersebut.
Aplikasi ini didirikan pada tahun 2021 oleh Kementerian Kesehatan Indonesia.
Aplikasi ini merupakan persyaratan wajib bagi setiap pelancong yang memasuki Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing, juga diperlukan untuk penerbangan domestik di Indonesia.
Baca juga: Polisi Lepas Tersangka Peretas Situs Setkab, Apa Alasannya?
Aplikasi eHAC diunduh ke perangkat seluler penumpang dan menyimpan status kesehatan terbaru mereka, data Personally Identifiable Information (PII), detail kontak, hasil tes Covid-19, dan banyak lagi.
Baca juga: Website Setkab Kembali Jadi Korban Aksi Peretasan, Sempat Pulih Pekan Lalu
Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server terbuka.
Baca juga: Peneliti ICW Ungkap Berbagai Teror dan Peretasan Saat Diskusi Bersama Eks Pimpinan KPK
Aplikasi eHAC sendiri disebut menyimpan lebih dari 1,4 juta data dari 1,3 juta pengguna eHAC.
Data-data pribadi yang bocor mencakup ID pengguna berupa nomor kartu tanda penduduk (KTP), paspor serta data dari hasil tes Covid-19, alamat, nomor telepon dan nomor peserta rumah sakit, nama lengkap, tanggal lahir, pekerjaan, dan foto.
Para peneliti yang mendapati kebocoran data ini mengaku menemukan data 266 rumah sakit dan klinik di seluruh Indonesia.
Mereka juga menemukan nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan tiap hari, dan data tentang jenis pelancong.
Dalam artikel tersebut dijelaskan bahwa vpnMentor bekerja keras menerbitkan laporan yang akurat dan dapat dipercaya untuk memastikan semua orang yang membacanya memahami hal serius ini.
“Beberapa pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. Jadi, kami harus teliti dan memastikan semua yang kami temukan benar dan akurat,” tulis artikel tersebut.
Dalam hal ini, tim keamanan siber vpnMentor menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi," sebut tim keamanan siber vpnMentor.
"Setelah mereka menyelidiki database dan memastikan bahwa catatan tersebut asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” lanjutnya.
“Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT * Indonesia dan, akhirnya, penyedia hosting Google – eHAC,” sebutnya lagi.
Hingga awal Agustus, vpnMentor menyatakan belum menerima jawaban dari pihak terkait.
Sehingga mereka mencoba menjangkau penyelidikan pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan cyber.
Tim Tanggap Darurat Komputer Indonesia (ID-CERT) adalah lembaga pemerintah yang bertanggung jawab untuk menangani insiden keamanan siber di negara Indonesia.
Sebagian besar negara memiliki lembaga serupa untuk menangani kebocoran dan peretasan data lokal.
“Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan,” ujarnya.
Tanggapan Kemenkes
Terkait dugaan kebicoran data ini, Kementerian Kesehatan RI dalam pernyataan resmi pada jumpa pers virtual hari ini, Selasa (31/8/2021) menyatakan, pihaknya meminta kepada para pengguna aplikasi eHAC versi lama agar segera menghapus aplikasi tersebut, karena dari aplikasi lama itulah diduga kebocoran data terjadi.
"Pemerintah meminta untuk segera meng-uninstall, men-delete aplikasi eHAC yang lama dan terpisah," sebut Kapusdatin Kemenkes, Anas Ma'ruf.
Anas menyatakan pihaknya kini melakukan upaya mitigasi dugaan kebocoran data eHAC versi lama.
Sebagai bagian dari upaya mitigasi, pihaknya sudah menonaktifkan aplikasi eHAC versi lama.
Dia mengatakan, sebenarnya Pemerintah sudah mulai menggunakan aplikasi Pedulilindungi sejak Juli 2021.
Sementara aplikasi eHAC) sudah termasuk dalam Aplikasi Pedulilindungi.
"Sistem yang ada di eHAC yang lama itu berbeda dengan eHAC yang bergabung dengan pedulilindungi," beber Anas seraya menyebut bahwa server) dan infrastruktur IT pada aplikasi eHAC yang sudah terintegrasi di Pedulilindungi berada di pusat data nasional.
Posisi server ini juga dalam perlindungan Kementerian Komunikasi dan Informatika (Kemenkominfo) dan Badan Siber Sandi Negara (BSSN).
Aplikasi eHAC dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Aplikasi ini dibuat untuk menguji dan melacak mereka yang hendak bepergian. Aplikasi ini wajib diunduh bagi orang asing maupun warga negara Indonesia yang bepergian di dalam negeri. Aplikasi ini dibuat Kementerian Kesehatan RI tahun ini.