Jutaan Data Pengguna Aplikasi eHAC Terekspose, Kemenkes Sebut Sumber Masalah dari Mitra
Cyberthreat.id – Kementerian Kesehatan Republik Indonesia menyebut bahwa sumber masalah dari jutaan data pengguna aplikasi Electronic Health Alert Card (eHAC) yang terekspose di internet diduga berasal dari mitra atau pihak ketiga.
“Dugaan kebocoran di eHAC lama diakibatkan kemungkinan adanya dugaan kebocoran di pihak mitra. Dan, ini sudah diketahui dan pemerintah sudah melakukan tindakan pencegahan dan upaya lebih lanjut ke Kementerian Kominfo dan Polri,” tutur Kepala Pusat Data dan Informasi Kemenkes dr. Anas Ma’ruf dalam jumpa pers virtual, Selasa (31 Agustus 2021).
Sayangnya, Anas tak merinci seperti apa “dugaan kebocoran” yang dimaksud tersebut dan siapa mitra yang dimaksud.
Anas mengatakan, data yang terekspose berasal dari aplikasi Kartu Kewaspadaan Kesehatan Elektronik (eHAC) versi lama yang sudah tidak digunakan sejak 2 Juli 2021.
Sejak tanggal tersebut, menurut dia, Kemenkes mengintegrasikan aplikasi eHAC ke aplikasi PeduliLindungi. Fitur eHAC yang berada di PeduliLidungi ini berbeda server dan infrastruktur dengan aplikasi e-HAC versi lama.
“Dugaan kebocoran ini tidak terkait dengan eHAC di PeduliLindungi. Dan saat ini tengah dilakukan investigasi dan penelusuran lanjut,” ujar dia.
“Untuk eHAC lama tidak terhubung dengan eHAC di PeduliLindungi. eHAC baru pindah di Pusat Data Nasional (di bawah kelola Kementerian Kominfo, red) dan dilindungi dengan aman,” ia menambahkan.
Sebelumnya, tim riset keamanan siber vpnMentor, situs web pengulas perangkat lunak VPN dan fokus pada isu keamanan data pribadi, menemukan basis data pengguna eHAC terekspose di internet pada 15 Juli 2021.
Meski telah melakukan pelaporan dua kali ke Kemenkes dan terakhir ke BSSN pada 22 Agustus, tindakan penutupan server yang menyimpan data tersebut baru dilakukan pada 24 Agustus.
Basis data Elastisearch yang dipakai eHAC menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna.
“Catatan ini tidak hanya mengekspose pengguna. Kebocoran data ini mengekspose seluruh infrastruktur yang mencakup eHAC, seperti data pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” tutur vpnMentor yang dimiliki oleh Kape Technologies Plc asal London.
Basis data yang terbuka di internet itu mencakup data tes kesehatan Covid-19 meliputi identitas dan jenis penumpang, identitas rumah sakit, alamat dan waktu kunjungan rumah, jenis tes, hasil tes, dan lain-lain.
Lalu, data akun eHAC mencakup nama penumpang dan nomor ID Unit Record Number (URN), nomor ID rumah sakit URN, dan lain-lain. Juga, data 226 rumah sakit dan klinik di Indonesia meliputi detail RS, nama penanggung jawab penumpang, nama dokter, kapasitas RS, dll.
Sementara yang mencakup data pribadi penumpang antara lain: NIK, nama lengkap, nomor ponsel, pekerjaan,kewarganegaraan, jenis kelamin, paspor dan foto profil yang dilampirkan ke akun eHAC, detail hotel penumpang, dan lain-lain.
Tak hanya penumpang, data yang terekspose termasuk data staf eHAC yang membuat akun, mencakup: NIK, nama, alamat email, apakah menggunakan kata sandi default untuk akun eHAC, tanggal pembuatan akun, dan pembaruan aplikasi.
Mitigasi: hapus aplikasi eHAC lama
Sebagai langkah mitigasi dari insiden tersebut, Anas mengatakan, aplikasi eHAC yang lama telah dinonaktifkan.
“Pemerintah untuk meminta kepada masyarakat untuk menghapus, men-delete, meng-uninstall eHAC yang lama,” tutur dia. Ia juga menyarankan agar masyarakat memakai aplikasi PeduliLindungi jika ingin melakukan perjalanan selama pandemi Covid-19 ini.
eHAC awalnya diperuntukkan bagi penumpang pesawat terbang yang berasal dari luar negeri. Mereka diminta untuk mengisi kondisi kesehatan terbaru—tujuannya untuk “memastikan” bahwa mereka tak membawa virus ke Indonesia. Namun, selama pandemi ini, penerbangan domestik juga mewajibkan penumpang mengisi eHAC.
Lantaran pemerintah memfokuskan penanganan Covid-19 ini melalui satu platform, aplikasi eHAC diintegrasikan sebagai fitur di aplikasi PeduliLindungi.
“Saat ini pemerintah masih terus mengembangkan PeduliLindungi dan sisi infrastruktur dan perfoma diperbaiki agar akses dari masyarkat jadi lebih mudah. Saat ini pengguna PeduliLindungi semakin meningkat apalagi dengan penerapan protokol kesehatan dengan PeduliLindungi,” tuturnya.
Ia mengatakan, keamanan data pribadi adalah salah satu konsen pemerintah. “Kami sudah bekerja sama dengan BSSN dan menerapkan Sistem Manajemen Keamanan Informasi,” katanya.[]