TEMPO.CO, Jakarta - Tim peneliti dari vpnMentor mengungkap potensi kebocoran data pribadi lebih dari satu juta pengguna eHAC Indonesia. Electronic Health Alert Card merupakan aplikasi 'test and trace' bagi orang-orang yang hendak masuk ke Indonesia untuk memastikan mereka tidak datang atau pulang membawa SARS-CoV-2, virus corona penyebab Covid-19.
Dalam laporannya, vpnMentor menyebutkan bahwa aplikasi eHAC Indonesia dibuat oleh Kementerian Kesehatan pada 2021. Tim peneliti vpnMentor yang dipimpin Noam Rotem dan Ran Locar menemukan rapuhnya pertahanan basis data aplikasi itu dan menilai pengembang telah gagal menerapkan protokol privasi data yang memadai.
"Mereka membiarkan data lebih dari satu juta penggunanya bocor," bunyi hasil temuan tersebut yang dipublikasi, Senin 30 Agustus 2021 .
Di dalam laporannya, vpnMentor juga menyebutkan bahwa data yang bocor sebesar 2 GB mencakup apa yang disebut Personally Identifiable Information, informasi travel, rekam medis, dan status Covid-19. Bukan hanya data pengguna, kebocoran juga mengekspose seluruh infrastruktur eHAC, termasuk data dari rumah sakit-rumah sakit dan pejabat pemerintahan pengguna aplikasi itu.
“Begitu tim kami menginvestigasi basisdata dan memastikan data tersebut asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” tulis vpnMentor dalam laporannya.
Kontak dibuat dua kali pada 15 dan 21 Juli 2021. Tanpa respons dari kementerian, vpnMentor kemudian mengontak Indonesia Computer Emergency Response Team (CERT) dan juga Google sebagai hosting provider eHAC. Hingga awal Agustus, atau setengah bulan sejak mendapati data yang gampang bocor itu, vpnMentor belum juga mendapatkan perhatian.
Mereka pun mencoba menjalin kontak dengan badan pemerintahan lain di antaranya BSSN (Badan Siber dan Sandi Negara). “Kami menghubungi mereka pada 22 Agustus dan mereka membalas pada hari yang sama. Dua hari kemudian, 24 Agustus, server baru di-take down.”
VpnMentor mengaku bekerja untuk mengurangi kebocoran data pribadi dari website maupun aplikasi di seluruh dunia. Mereka bekerja keras untuk membuat setiap laporan yang dipublikasikan akurat dan dapat dipercaya, serta mudah dipahami keseriusannya.
“Andai data (eHAC) ini ditemukan oleh para peretas (hacker) jahat, dan memungkinkannya untuk mengumpulkan lebih banyak data pada lebih banyak orang, efeknya mungkin sangat para pada individu maupun level sosial,” katanya.
Menanggapinya, Kepala Pusat Data dan Informasi Kementerian Kesehatan, Anas Ma’ruf, menyatakan pemerintah telah menyadari potensi tersebut. Namun, dipastikan, itu berasal dari aplikasi eHAC yang lama.
Menurutnya, aplikasi itu sudah tidak digunakan lagi sejak Menteri Kesehatan menginstruksikan digitalisasi dokumen kesehatan bagi pengguna transportasi udara yang terintegrasi dengan PeduliLindungi pada 2 Juli lalu. “Sejak saat itu kita mulai menggunakan aplikasi PeduliLindungi dimana eHAC ini sudah terintegrasi dan berada di dalam aplikasi dan sistemnya berbeda dengan yang lama,” ujar dia dalam konferensi pers yang digelar daring, Selasa 31 Agustus 2021.
Anas menegaskan bahwa kebocoran data tidak terjadi pada eHAC yang ada di aplikasi PeduliLindungi. Dia juga menduga, kebocoran data dari eHAC yang lama terjadi pada mitra yang saat ini kemungkinan tersebut sedang diinvestigasi Kementerian Komunikasi dan Informasi serta kepolisian.
Dalam saran yang diberikannya, vpnMentor menyampaikan para pengembang di balik eHAC sebenarnya bisa dengan mudah menghindari kebocoran data pribadi penggunanya jika mengadopsi beberapa protokol keamanan mendasar. Yang dicontohkan adalah memproteksi server, implementasi aturan akses, dan jangan pernah meninggalkan sistem yang tidak membutuhkan autentifikasi terbuka ke dunia internet.
Baca juga:
Ingin Baca Pesan WhatsApp tanpa Obrolan? Begini Caranya