Aplikasi eHAC Kemenkes RI Ekspose Data 1,3 Juta Pengguna

Aplikasi eHAC Indonesia di Google Play Store.

Cyberthreat.id – Data sekitar 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) Indonesia yang dikembangkan Kementerian Kesehatan RI terekspose di internet.

Dipimpin oleh Noam Rotem dan Ran Locar, tim peneliti vpnMentor menemukan pelanggaran data (data breach) tersebut pada 15 Juli 2021 dan telah dilaporkan ke Kemenkes pada 21 Juli dan 26 Juli.

“Pengembang aplikasi gagal menerapkan protokol privasi data dan membiarkan data lebih dari 1 juta orang terekspose di server terbuka,” tulis peneliti di blog vpnMentor, Senin (30 Agustus 2021).

Mereka sebelumnya telah melaporkan temuan tersebut ke otoritas terkait sebanyak tiga kali, yaitu pada 22 Juli kepada CERT Indonesia, ID SIRTII (16 Agustus), dan Badan Siber dan Sandi Negara (22 Agustus). Juga, membuat pelaporan ke Google sebagai penyedia hosting eHAC pada 25 Juli.

Laporan baru direspon oleh BSSN pada 22 Agustus dan tindakan penutupan akses data pada 24 Agustus.

HAC atau kartu kewaspadan kesehatan yang awalnya berupa kertas diperuntukkan bagi penumpang yang berasal dari luar negeri. Penumpang wajib mengisi data kesehatan. Semenjak pandemi Covid-19, penerbangan domestik juga mewajibkan penumpang mengisi HAC.

Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan dan Pengendalian Penyakit, Kemenkes kemudian mengembangkan HAC versi modern dalam bentuk aplikasi seluler dan berbasis web atau eHAC.

Aplikasi berbasis seluler tersebut menyimpan status kesehatan terkini dari penumpang atau pengguna, NIK KTP, jenis kelamin, umur, nomor kontak, tanggal lahir, tanggal penerbangan, alamat, dan hasil tes Covid-19.[]