Data Pengguna Aplikasi eHAC Diklaim Tidak Dicuri, Polri Hentikan Penyelidikan
Cyberthreat.id – Direktorat Tindak Pidana Siber Mabes Polri menyatakan bahwa tidak ada data pengguna aplikasi Kartu Kewaspadaan Kesehatan Elektronik (Electronic Health Alert Card/eHAC) yang bocor.
“Hasil penyelidikan yang dilakukan oleh (tim) siber Polri terhadap Kemenkes dan mitra Kemenkes, tidak ditemukan upaya pengambilan data pada server eHAC,” ujar Kepala Divisi Humas Polri Irjen Argo Yuwono pada Selasa (7 September 2021) dikutip dari Antaranews.com.
Setelah “dipastikan” tidak ada upaya pencurian data pengguna eHAC, kata dia, bantuan penyelidikan oleh tim siber Polri dihentikan per Senin (6 September).
Kementerian Kesehatan Republik Indonesia menyebut bahwa jutaan data pengguna yang terekspose di internet diduga berasal dari mitra atau pihak ketiga.
“Dugaan kebocoran di e-HAC lama diakibatkan kemungkinan adanya dugaan kebocoran di pihak mitra. Dan, ini sudah diketahui dan pemerintah sudah melakukan tindakan pencegahan dan upaya lebih lanjut ke Kementerian Kominfo dan Polri,” tutur Kepala Pusat Data dan Informasi Kemenkes dr. Anas Ma’ruf 31 Agustus lalu.
Sayangnya, Anas tak merinci seperti apa “dugaan kebocoran” yang dimaksud tersebut dan siapa mitra yang dimaksud.
Anas mengatakan, data yang terekspose berasal dari aplikasi eHAC versi lama yang sudah tidak digunakan sejak 2 Juli 2021.
Sejak tanggal tersebut, menurut dia, Kemenkes mengintegrasikan aplikasi eHAC ke aplikasi PeduliLindungi. Fitur eHAC yang berada di PeduliLidungi ini berbeda server dan infrastruktur dengan aplikasi eHAC versi lama.
“Dugaan kebocoran ini tidak terkait dengan eHAC di PeduliLindungi,” ujar dia.
“eHAC lama tidak terhubung dengan eHAC di PeduliLindungi. eHAC baru pindah di Pusat Data Nasional (di bawah kelola Kementerian Kominfo, red) dan dilindungi dengan aman,” ia menambahkan.
Sebelumnya, tim riset keamanan siber vpnMentor, situs web pengulas perangkat lunak VPN dimiliki oleh Kape Technologies, menemukan basis data pengguna eHAC terekspose di internet pada 15 Juli 2021.
Meski telah melakukan pelaporan dua kali ke Kemenkes dan terakhir ke BSSN pada 22 Agustus, tindakan penutupan server yang menyimpan data tersebut baru dilakukan pada 24 Agustus.
Sayangnya, Kemenkes tak menjelaskan apakah sebelum vpnMentor menemukan data yang terbuka itu, adakah orang lain yang turut menemukan dan mengambil secara diam-diam atau tidak.
Basis data Elastisearch yang dipakai eHAC menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna.
“Catatan ini tidak hanya mengekspose pengguna. Kebocoran data ini mengekspose seluruh infrastruktur yang mencakup eHAC, seperti data pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” tutur vpnMentor.
Basis data yang terbuka di internet itu mencakup data tes kesehatan Covid-19 meliputi identitas dan jenis penumpang, identitas rumah sakit, alamat dan waktu kunjungan rumah, jenis tes, hasil tes, dan lain-lain.
Lalu, data akun eHAC mencakup nama penumpang dan nomor ID Unit Record Number (URN), nomor ID rumah sakit URN, dan lain-lain. Juga, data 226 rumah sakit dan klinik di Indonesia meliputi detail RS, nama penanggung jawab penumpang, nama dokter, kapasitas RS, dll.
Sementara yang mencakup data pribadi penumpang antara lain: NIK, nama lengkap, nomor ponsel, pekerjaan,kewarganegaraan, jenis kelamin, paspor dan foto profil yang dilampirkan ke akun eHAC, detail hotel penumpang, dan lain-lain.
Tak hanya penumpang, data yang terekspose termasuk data staf eHAC yang membuat akun, mencakup: NIK, nama, alamat email, apakah menggunakan kata sandi default untuk akun eHAC, tanggal pembuatan akun, dan pembaruan aplikasi.
Mitigasi: hapus aplikasi eHAC lama
Sebagai langkah mitigasi dari insiden tersebut, Anas mengatakan, aplikasi eHAC yang lama telah dinonaktifkan.
“Pemerintah untuk meminta kepada masyarakat untuk menghapus, men-delete, meng-uninstall eHAC yang lama,” tutur dia. Ia juga menyarankan agar masyarakat memakai aplikasi PeduliLindungi jika ingin melakukan perjalanan selama pandemi Covid-19 ini.
eHAC awalnya diperuntukkan bagi penumpang pesawat terbang yang berasal dari luar negeri. Mereka diminta untuk mengisi kondisi kesehatan terbaru—tujuannya untuk “memastikan” bahwa mereka tak membawa virus ke Indonesia. Namun, selama pandemi ini, penerbangan domestik juga mewajibkan penumpang mengisi eHAC.
Lantaran pemerintah memfokuskan penanganan Covid-19 ini melalui satu platform, aplikasi eHAC diintegrasikan sebagai fitur di aplikasi PeduliLindungi.
“Saat ini pemerintah masih terus mengembangkan PeduliLindungi dan sisi infrastruktur dan perfoma diperbaiki agar akses dari masyarkat jadi lebih mudah. Saat ini pengguna PeduliLindungi semakin meningkat apalagi dengan penerapan protokol kesehatan dengan PeduliLindungi,” tuturnya.
Pakar keamanan siber Pratama Persadha mengatakan, desakan untuk menghapus aplikasi jelas tidak menyelesaikan masalah dugaan kebocoran data.
“Bahkan, sejak awal [aplikasi] dihapus, basis data eHAC masih bisa bocor. Karena sumber kebocorannya ada pada sistem, bukan di aplikasi pengguna. Tap, di server pengelola,” ujar Ketua Communication & Information System Security Research Center (CISSRec), lembaga riset keamanan siber, kepada Cyberthreat.id akhir Agustus lalu.
Melihat kasus yang terjadi, ia berpendapat tampaknya peneliti vpnMentor tidak mengalami kesulitan ketika menemukan basis data pengguna eHAC yang terbuka. Ini menunjukkan, kata dia, bahwa tidak ada protokol keamanan yang berarti yang diterapkan pengembang aplikasi tersebut.[]