BSSN dan Kemenkes Klaim Data Pengguna eHAC Tidak Bocor dan Masih Terlindungi

Juru Bicara BSSN Anton Setiawan | Foto: Tangkapan layar Cyberthreat.id

Cyberthreat.id – Badan Siber dan Sandi Negara (BSSN) dan Kementerian Kesehatan RI pada Rabu (1 September 2021), mengatakan bahwa 1,3 juta data pengguna aplikasi Kartu Kewaspadaan Kesehatan Elektronik (eHAC) yang terekspose di internet masih terlindungi dan tidak bocor.

“Kemenkes memastikan bahwa data masyarakat yang ada di dalam sistem eHAC tidak bocor dan dalam perlindungan,” ujar Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf dalam jumpa pers virtual yang disiarkan melalui saluran YouTube Kementerian Kesehatan RI.

Anas juga mengklaim bahwa data pengguna eHAC tidak mengalir ke platform mitra Kemenkes. Saat ini, aplikasi eHAC telah menjadi fitur di dalam aplikasi PeduliLindungi yang dikelola di Pusat Data Nasional.

vpnMentor, situs web pengulas perangkat lunak VPN milik Kape Technologies, menemukan basis data pengguna eHAC tak terlindungi terekspose di internet pada 15 Juli 2021. Mereka melaporkan temuan tersebut ke Kemenkes dua kali. Sayangnya, karena tidak ada tanggapan, mereka kembali melaporkan ke Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus dan mendapatkan respons di hari yang sama. Barulah pada 24 Agustus server eHAC ditutup.

Informasi data pribadi yang ditemukan vpnMentor berjumlah 1,4 juta catatan dari 1,3 juta pengguna eHAC. Data ini berisi nama, NIK, paspor, email, nama rumah sakit, alamat, hasil tes PCR, akun eHAC, bahkan data detail tentang RS dan dokter yang memeriksa pengguna, dan lain-lain.

Sayangnya, Anas tidak menjelaskan apakah sebelum peneliti vpnMentor telah ada pihak lain yang menemukan basis data tersebut. Tidak dijelaskan pula apakah dalam catatan server memang tidak terjadi anomali akses sebelum 15 Juli.

Menurut Anas, informasi kerentanan pada platform mitra eHAC yang ditemukan oleh peneliti vpnMentor telah ditutup oleh tim TI Kemenkes pada 23 Agustus 2021. Dalam penelusuran tim internal memang ditemukan kerentanan yang bisa mengancam data pengguna dieksploitasi oleh orang tak bertanggung jawab.

“Kemenkes telah berkoordinasi dengan Kemenkominfo dan BSSN serta Polri bahwa tidak ada kerentanan lain yang bisa digunakan untuk mengeksploitasi sistem tersebut,” ujar Anas.

Sementara, Juru Bicara BSSN Anton Setiawan menuturkan bahwa aplikasi eHAC tidak mengalami kebocoran data. Di dalam keamanan siber, kejadian ini dikenal sebagai berbagi informasi ancaman (threat information sharing). “Di mana, pihak-pihak yang konsen pada keamanan siber saling bertukar informasi…data-data yang ada masih tersimpan dengan baik,” ujar Anton.

“1,3 juta data itu tidak bocor, tapi sebuah PoC (proof of concept) bahwa seseorang bisa mengambil data tersebut. Jika [celah pada aplikasi] tidak ditutup, bisa dieksploitasi. Sampai saat ini datanya telah diverifikasi, tidak ada data yang bocor,” ia menambahkan.

Secara teknis, menurut dia, kerentanan pada platform mitra itu terdapat pada port yang menyangkut sensitive data exposure. Seharusnya, port ini tidak terbuka atau bisa dimasuki orang lain. “[Port terbuka, red] inilah yang ditemukan [dan dilaporkan] oleh peneliti vpnMentor,” tutur Anton.

BSSN sendiri, kata dia, telah memberikan asesmen keamanan TI dan memberikan sejumlah rekomendasi untuk penerapan keamanan sistem elektronik kepada Kemenkes.

Asesmen keamanan tersebut meliputi aspek kode sumber, implementasi sistem, penerapan keamanan, hingga mitigasi risiko.

Sebelumnya, Kemenkes mendorong agar pengguna eHAC menghapus aplikasi lama yang saat ini telah dinonaktifkan. Namun, pakar keamanan siber Pratama Persadha, menilai penghapusan aplikasi bukanlah solusi dari kerentanan terhadap kebocoran data. Ini lantaran sumber masalah terdapat pada server pengelola aplikasi, bukan pada pengguna. (Baca: 1,3 Juta Data Pengguna eHAC Kemenkes Bocor, Pakar: Hapus Aplikasi Bukan Solusi)

Menurut Pratama, dengan data yang berpotensi bocor seperti itu, pemilik data bisa mendapatkan risiko siber. “Kelengahan dari developer ini bisa mengakibatkan pemilik akun eHAC bisa menjadi target profiling dan penipuan dengan modus Covid-19, terutama, seperti telemedicine palsu maupun semacamnya,” kata Pratama.

Sementara, efek kebocoran data bagi pemerintah ialah menguatnya ketidakpercayaan terhadap proses penanggulangan Covid-19 dan usaha vaksinasi, apalagi saat ini kampanye vaksinasi menjadikan aplikasi Pedulilindungi sebagai ujung tombak. “Jadi, pasti ada kekhawatiran datanya juga bocor meski memakai eHAC yang berbeda sesuai penuturan Kemenkes,” ujar Pratama.[]