Kemenkes Klarifikasi Data Pengguna eHAC yang Terekspose, Warganet Sindir Tidak Ada Permintaan Maaf

Kepala Pusdatin Kemenkes Anas Ma'ruf | Foto: Tangkapan layar Cyberthreat.id/Akun YouTube Kemenkes RI

Cyberthreat.id – Kementerian Kesehatan Republik Indonesia memberikan klarifikasi terkait dengan data 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) yang terekspos di internet.

Selama jumpa pers sepanjang 16 menit pada Selasa (31 Agustus 2021), Kemenkes sama sekali tidak menunjukkan sikap bersalah atau meminta maaf kepada masyarakat terkait basis data pengguna yang tak dilindungi tersebut.

Sikap tersebut langsung direspons oleh warganet yang mengikuti siaran langsung melalui saluran YouTube Kementerian Kesehatan RI. “Kirain meminta maaf,” tulis akun Musavir Ganteng dalam kolom chat.

Pernyataan senada juga diutarakan akun Trisman Chandra yang menulis di kolom komentar video tersebut. “Tidak ada permintaan maaf terkait kasus ini. Kebocoran data tetaplah kebocoran data, maupun itu eHAC lama…tidak ada solusi yang dikasih. Apa yang mau kita harapin dari aplikasi pemerintah?” tulis dia.

Sementara itu, peneliti keamanan siber dari Ethical Hacker Indonesia, Teguh Aprianto yang juga mengikuti acara itu turut berkomentar. “Ngeles melulu adalah jalan ninja orang-orang yang ga tau malu,” tulisnya di kolom chat.

Kepala Pusat Data dan Informasi Kemenkes, Anas Ma’ruf, menjelaskan bahwa dugaan kebocoran data tersebut telah diketahui oleh pemerintah dan saat ini tengah diinvestigasi.

“Kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan sejak 2 Juli 2021,” ujar Anas.

“Sebagai langkah mitigasi, maka eHAC yang lama sudah dinonaktifkan dan saat ini eHAC tetap dipakai dan berada di dalam aplikasi PeduliLindungi,” ia menambahkan.

Ia mengatakan, aplikasi eHAC yang terintegrasi dengan PeduliLindungi berbeda dengan aplikasi versi lama baik dari server maupun infrastruktur pendukungnya. Aplikasi eHAC baru berada di Pusat Data Nasional yang keamanannya di bawah tata kelola Kementerian Kominfo dan Badan Siber dan Sandi Negara (BSSN).

Anas meminta kepada seluruh masyarakat untuk memanfaatkan fitur eHAC di aplikasi PeduliLidungi jika melakukan perjalanan selama pandemi Covid-19.

Selain itu, “Pemerintah untuk meminta kepada masyarakat menghapus, men-delete atau meng-uninstall eHAC yang lama,” kata dia.

Sebelumnya tim periset keamanan siber vpnMentor, situs web pengulas perangkat lunak VPN dan fokus pada isu keamanan data pribadi, menemukan basis data pengguna eHAC pada 15 Juli 2021 terekspose di internet. Meski telah melakukan pelaporan dua kali ke Kemenkes dan terakhir ke BSSN pada 22 Agustus, tindakan penutupan server yang menyimpan data tersebut baru dilakukan pada 24 Agustus.

Basis data Elastisearch yang dipakai eHAC menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna.

“Catatan ini tidak hanya mengekspose pengguna. Kebocoran data ini mengekspose seluruh infrastruktur yang mencakup eHAC, seperti data pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” tutur vpnMentor yang dimiliki oleh Kape Technologies Plc asal London.

Basis data yang terbuka di internet itu mencakup data tes kesehatan Covid-19 meliputi identitas dan jenis penumpang, identitas rumah sakit, alamat dan waktu kunjungan rumah, jenis tes, hasil tes, dan lain-lain.

Lalu, data akun eHAC mencakup nama penumpang dan nomor ID Unit Record Number (URN), nomor ID rumah sakit URN, dan lain-lain. Juga, data 226 rumah sakit dan klinik di Indonesia meliputi detail RS, nama penanggung jawab penumpang, nama dokter, kapasitas RS, dll.

Sementara yang mencakup data pribadi penumpang antara lain: NIK, nama lengkap, nomor ponsel, pekerjaan,kewarganegaraan, jenis kelamin, paspor dan foto profil yang dilampirkan ke akun eHAC, detail hotel penumpang, dan lain-lain.

Tak hanya penumpang, data yang terekspose termasuk data staf eHAC yang membuat akun, mencakup: NIK, nama, alamat email, apakah menggunakan kata sandi default untuk akun eHAC, tanggal pembuatan akun, dan pembaruan aplikasi.



Ancaman

vpnMentor mengatakan, dengan tereskposenya data seperti itu sangat rawan bagi penumpang dan otoritas terkait yang terkena dampak. “Seandainya ditemukan oleh peretas jahat, efeknya bisa sangat merusak pada seseorang,” tutur vpnMentor.

Oleh karenanya, mereka menyarankan bagi pengguna yang mungkin tereksposes untuk berhati-hati. Dengan informasi seperti paspor, tanggal lahir, riwayat perjalanan dan lain-lain, peretas dapat menargetkan dalam skema serangan yang kompleks, salah satunya penipuan online dengan taktik phishing.

“Penjahat dapat dengan mudah menggunakan data eHAC untuk berpura-pura sebagai pejabat kesehatan yang menindaklanjuti tes Covid-19 seseorang dan menekan mereka untuk melepaskan informasi yang lebih sensitif,” tulis vpnMentor.

“Jika Anda telah terdaftar di eHAC dan khawatir tentang bagaimana pelanggaran ini dapat berdampak pada Anda, hubungi Kementerian Kesehatan Indonesia secara langsung untuk menentukan langkah apa yang diambil untuk melindungi data Anda,” mereka menambahkan.

Perusakan informasi data

Catatan yang disimpan dalam basis data HAC juga berpotensi memungkinkan peretas mengakses aplikasi secara langsung dan merusak atau mengubah informasi data penumpang, termasuk hasil tes Covid-19.

“Karena masalah etika, kami tidak menguji teori ini, tetapi penyelidikan kami menunjukkan indikator yang jelas bahwa itu mungkin,” ujar vpnMentor.

Selain mengubah catatan pada aplikasi, peretas juga dapat menggunakan basis data untuk menyerangnya dengan berbagai virus dan perangkat lunak berbahaya, termasuk ransomware.

“Jika peretas tidak dapat menemukan cara untuk mengeksploitasi basis data secara langsung, mereka dapat menggunakan catatan staf eHAC yang tersimpan di dalamnya untuk membobol jaringan eHAC melalui 'pintu belakang'. Staf dapat menjadi sasaran dalam kampanye phishing yang serupa dengan yang dijelaskan di atas, dan akibatnya akan lebih signifikan,” tulis vpnMentor.

Imbas rumah sakit

Sementara rumah sakit yang menggunakan eHAC masih aman dari imbas kebocoran data, tapi tak menutup kemungkinan mereka masih menghadapi risiko lain.

“Peretas dapat memanen data dari aplikasi di masing-masing rumah sakit dan staf mereka, lalu menggunakan informasi ini untuk menargetkan rumah sakit dalam berbagai serangan phishing, penipuan, dan virus,” tulis vpnMentor.[]