Gara-gara Software Error, Data dan Video Konsultasi Pasien Babylon Health Bocor
Ilustrasi: Layanan Babylon App
Cyberthreat.id - Babylon Health mengakui aplikasi video GP Appointment-nya telah mengalami pelanggaran data. Video GP Appointment adalah layanan live dan interaktif antara pasien dan perawat kesehatan untuk berkonsultasi termasuk melalui pesan teks dan berbagi informasi lainnya.
Babylon Health mendapat pemberitahuan tentang kebocoran data setelah seorang pasien diberikan akses ke puluhan rekaman video dari konsultasi pasien lain. Investigasi lebih lanjut oleh Babylon mengungkapkan sejumlah kecil pengguna di Britania Raya terdampak dan mereka juga bisa melihat sesi orang lain.
Perusahaan mengatakan telah memperbaiki masalah ini, termasuk memberi tahu regulator dan pihak terkait.
Babylon adalah layanan kesehatan online yang memungkinkan penggunanya untuk berbicara dengan dokter, terapis, atau spesialis kesehatan lainnya melalui panggilan video smartphone. Jika perlu layanan ini akan mengirimkan resep elektronik ke apotek terdekat. Menurut BBC, layanan Babylon Health memiliki 2,3 juta pengguna terdaftar di Inggris dan sekitarnya.
Pengakuan Pasien
Rory Glover, salah seorang pengguna yang berbasis di Leeds, memiliki akses ke layanan Babylon Health melalui keanggotaannya dalam layanan rencana asuransi kesehatan swasta dengan Bupa, salah satu mitra Babylon.
Pada hari Selasa (9 Juni) pagi, ketika hendak pergi untuk memeriksa resep, dia menyadari terdapat sekitar 50 video di fitur Consultays Replays. Masalahnya, video tersebut bukan miliknya, tapi milik pasien lain.
Ketika salah satu video diklik, file tersebut ternyata berisi rekaman janji orang lain.
"Saya terkejut," kata Glover kepada BBC, Rabu (10 Juni 2020).
"Anda tidak berharap melihat hal seperti itu ketika menggunakan aplikasi terpercaya. Sangat mengejutkan menyaksikan kesalahan monumental ini terjadi."
Glover kemudian memberi tahu seorang rekannya tentang kejadian itu. Rekannya, pernah bekerja untuk Babylon, akhirnya menyampaikan persoalan ini ke departemen kepatuhan (compliance) perusahaan.
Tak lama setelah itu, akses Glover ke file tersebut dibatalkan. Babylon, yang berkantor pusat di London, kemudian mengkonfirmasi pelanggaran tersebut.
"Pada sore hari, Selasa 9 Juni, kami mengidentifikasi dan menyelesaikan masalah dalam waktu dua jam di mana satu pasien bisa mengakses rekaman konsultasi pasien lain," tulis Babylon dalam sebuah pernyataan.
"Penyelidikan kami menunjukkan tiga pasien, yang telah memesan dan memiliki janji hari ini, disajikan secara tidak benar, tetapi tidak melihat, rekaman konsultasi pasien lain melalui subbagian dari profil pengguna dalam aplikasi Babel."
Pada hari Rabu, perusahaan mengubah pernyataannya untuk memperjelas bahwa terdapat dua pasien selain Glover - yang sebenarnya juga telah melihat rekaman pasien lain, persis seperti yang dialami Glover.
"Kesalahan ini terjadi karena ada kesalahan di perangkat lunak daripada serangan jahat," terang Babylon.
"Masalahnya telah diidentifikasi dan diselesaikan dengan cepat. Tentu saja kami menangani masalah keamanan, sekecil apa pun, dengan sangat serius dan telah menghubungi pasien yang terkena dampak untuk memperbarui, meminta maaf, dan melakukan hal-hal yang diperlukan."
Seorang juru bicara perusahaan mengatakan tim teknis Babylon sudah mengetahui masalah ini sebelum dihubungi oleh rekan kerja Glover. Dia mengatakan, masalah tersebut secara tidak sengaja diperkenalkan melalui fitur baru yang memungkinkan pengguna beralih dari konsultasi berbasis audio ke video melalui telepon.
Jubir itu mengatakan bahwa perusahaan telah memberi tahu Kantor Komisaris Informasi (ICO) Inggris tentang insiden tersebut.
"Pengguna yang terpengaruh hanya berada di Inggris dan ini tidak memengaruhi operasi internasional kami," terang jubir tersebut.
Masih Khawatir
Glover mengatakan dirinya masih memiliki kekhawatiran terhadap kebocoran data Babylon sehingga ia berniat untuk tidak menggunakan layanan ini lagi.
"Ini masalah kerahasiaan dokter-pasien," katanya.
Glover mengatakan seorang pasien mengungkapkan segala hal yang bersifat pribadi dan tidak boleh diketahui pihak lain. Ketika file-file seperti itu bisa diakses pihak lain, muncul kekhawatiran. Terlebih kebocoran informasi dialami banyak orang.
Kantor Komisaris Informasi (ICO) Inggris menyatakan telah dihubungi oleh Babylon dan sekarang sedang menunggu untuk menerima laporan pelanggaran secara resmi dari perusahaan.
"Data medis masyarakat adalah informasi yang sangat sensitif. Orang-orang mengharapkan data ditangani dengan hati-hati dan aman, organisasi juga memiliki tanggung jawab terkait keamanan data ini dan berada di bawah hukum yang berlaku," kata seorang juru bicara ICO.
"Ketika sebuah insiden data terjadi, kami mengharapkan sebuah organisasi untuk mempertimbangkan apakah pantas untuk menghubungi orang-orang yang terkena dampak, dan untuk mempertimbangkan apakah ada langkah-langkah yang dapat diambil untuk melindungi mereka dari potensi dan dampak buruk lebih lanjut."
