Ini Penjelasan vpnMentor Saat Temukan Data Pengguna eHAC Kemenkes RI yang Tak Terlindungi
Cyberthreat.id – vpnMentor, situs web pengulas perangkat lunak VPN berkantor pusat di Washington, Amerika Serikat, menemukan basis data 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) Kementerian Kesehatan RI terekspose di internet.
Dipimpin oleh Noam Rotem dan Ran Locar, tim peneliti dalam laporannya yang dipublikasikan di blog perusahaan, Senin (30 Agustus 2021), menemukan basis data itu sewaktu melakukan pemindaian web skala besar “untuk mencari penyimpanan data tidak aman yang berisi informasi yang tidak boleh terbuka”.
Aplikasi eHAC menggunakan basis data Elastisearch—pemakaian ini biasanya tidak dirancang untuk penggunaan URL. “Namun, kami dapat mengaksesnya melalui peramban web dan memanipulasi kriteria pencarian RL untuk mengeksposes skema dari satu indeks kapan saja,” tulis vpnMentor.
Sebagai peretas etis, peneliti mengikuti prosedur pelaporan ke pemilik sistem atau pihak-pihak yang bertanggung jawab atas eHAC untuk memberitahu adanya kerentanan.
“Tujuan proyek pemetaan web ini untuk membantu membuat internet lebih aman bagi semua pengguna. Kami tidak menjual, menyimpan, atau mengekspose informasi apa pun yang kami temui selama riset keamanan kami,” tulis vpnMentor yang lab risetnya melakukan kerja secara pro bono.
vpnMentor, dimiliki oleh Kape Technologies Plc asal London, telah berkali-kali menemukan pelanggaran data di sejumlah aplikasi. (Baca: 2,9 Juta Data Pengguna Blisk Web Browser Bocor) atau temuan 1, 2, dan 3.
Basis data Elastisearch yang dipakai eHAC menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna.
“Catatan ini tidak hanya mengekspose pengguna. Kebocoran data ini mengekspose seluruh infrastruktur yang mencakup eHAC, seperti data pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” tutur vpnMentor.
Basis data yang terbuka di internet itu mencakup data tes kesehatan Covid-19 meliputi identitas dan jenis penumpang, identitas rumah sakit, alamat dan waktu kunjungan rumah, jenis tes, hasil tes, dan lain-lain.
Lalu, data akun eHAC mencakup nama penumpang dan nomor ID Unit Record Number (URN), nomor ID rumah sakit URN, dan lain-lain. Juga, data 226 rumah sakit dan klinik di Indonesia meliputi detail RS, nama penanggung jawab penumpang, nama dokter, kapasitas RS, dll.
Sementara yang mencakup data pribadi penumpang antara lain: NIK, nama lengkap, nomor ponsel, pekerjaan,kewarganegaraan, jenis kelamin, paspor dan foto profil yang dilampirkan ke akun eHAC, detail hotel penumpang, dan lain-lain.
Tak hanya penumpang, data yang terekspose termasuk data staf eHAC yang membuat akun, mencakup: NIK, nama, alamat email, apakah menggunakan kata sandi default untuk akun eHAC, tanggal pembuatan akun, dan pembaruan aplikasi.
Ancaman
vpnMentor mengatakan, dengan tereskposenya data seperti itu sangat rawan bagi penumpang dan otoritas terkait yang terkena dampak. “Seandainya ditemukan oleh peretas jahat, efeknya bisa sangat merusak pada seseorang,” tutur vpnMentor.
Oleh karenanya, mereka menyarankan bagi pengguna yang mungkin tereksposes untuk berhati-hati. Dengan informasi seperti paspor, tanggal lahir, riwayat perjalanan dan lain-lain, peretas dapat menargetkan dalam skema serangan yang kompleks, salah satunya penipuan online dengan taktik phishing.
“Penjahat dapat dengan mudah menggunakan data eHAC untuk berpura-pura sebagai pejabat kesehatan yang menindaklanjuti tes Covid-19 seseorang dan menekan mereka untuk melepaskan informasi yang lebih sensitif,” tulis vpnMentor.
“Jika Anda telah terdaftar di eHAC dan khawatir tentang bagaimana pelanggaran ini dapat berdampak pada Anda, hubungi Kementerian Kesehatan Indonesia secara langsung untuk menentukan langkah apa yang diambil untuk melindungi data Anda,” mereka menambahkan.
HAC atau kartu kewaspadan kesehatan yang awalnya berupa kertas diperuntukkan bagi penumpang yang berasal dari luar negeri. Penumpang wajib mengisi data kesehatan. Semenjak pandemi Covid-19, penerbangan domestik juga mewajibkan penumpang mengisi HAC.
Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan dan Pengendalian Penyakit, Kemenkes kemudian mengembangkan HAC versi modern dalam bentuk aplikasi seluler dan berbasis web atau eHAC.
Perusakan informasi data
Catatan yang disimpan dalam basis data HAC juga berpotensi memungkinkan peretas mengakses aplikasi secara langsung dan merusak atau mengubah informasi data penumpang, termasuk hasil tes Covid-19.
“Karena masalah etika, kami tidak menguji teori ini, tetapi penyelidikan kami menunjukkan indikator yang jelas bahwa itu mungkin,” ujar vpnMentor.
Selain mengubah catatan pada aplikasi, peretas juga dapat menggunakan basis data untuk menyerangnya dengan berbagai virus dan perangkat lunak berbahaya, termasuk ransomware.
“Jika peretas tidak dapat menemukan cara untuk mengeksploitasi basis data secara langsung, mereka dapat menggunakan catatan staf eHAC yang tersimpan di dalamnya untuk membobol jaringan eHAC melalui 'pintu belakang'. Staf dapat menjadi sasaran dalam kampanye phishing yang serupa dengan yang dijelaskan di atas, dan akibatnya akan lebih signifikan,” tulis vpnMentor.
Imbas rumah sakit
Sementara rumah sakit yang menggunakan eHAC masih aman dari imbas kebocoran data, tapi tak menutup kemungkinan mereka masih menghadapi risiko lain.
“Peretas dapat memanen data dari aplikasi di masing-masing rumah sakit dan staf mereka, lalu menggunakan informasi ini untuk menargetkan rumah sakit dalam berbagai serangan phishing, penipuan, dan virus,” tulis vpnMentor.[]