Poker Tulip - aplikasi eHAC milik Kemenkes yang datanya diduga bocor. Foto: Google Play
Data dalam aplikasi Electronic Health Alert Card (e-HAC) milik Kementerian Kesehatan (Kemenkes) diduga bocor. Dugaan kebocoran data ini pertama kali diungkap oleh situs pemantau internet vpnMentor.
Aplikasi e-HAC merupakan aplikasi yang wajib diunduh oleh para pelaku perjalanan yang melakukan mobilitas di tengah pandemi COVID-19. e-HAC berisi informasi pribadi seperti email, nomor tempat tinggal, alamat rumah, nomor ponsel, hingga hasil tes COVID-19.
Berdasarkan laporan vpnMentor, data e-HAC diduga bocor sejak Juli 2021. Bentuk kebocorannya beragam, mulai dari data pribadi pengguna aplikasi dan staf e-HAC, data rumah sakit dan tenaga kesehatan, hasil tes COVID-19 hingga data vaksinasi.
Berikut kronologis dugaan kebocoran data e-HAC.
Diduga bocor sejak 15 Juli 2021
Awalnya, vpnMentor mendeteksi adanya dugaan kebocoran data di e-HAC sejak 15 Juli 2021. Sistem keamanan untuk e-HAC dikatakan rendah.
Dari kejadian tersebut, vpnMentor mengatakan diduga ada sekitar 1,3 juta data pengguna e-HAC yang bocor.
"Tim kami menemukan e-HAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. Setiap kali kami menemukan pelanggaran data, kami menggunakan teknik ahli untuk memverifikasi pemilik basis data," kata vpnMentor dalam laporannya yang diunggah di laman vpnmentor.com.
“Pengembang e-HAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan, dari sekitar 1,3 juta pengguna e-HAC. Kebocoran data ini mengekspos seluruh infrastruktur di sekitar e-HAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut," tambahnya.
Kementerian Kesehatan mengabaikan temuan vpnMentor
vpnMentor mengaku telah mencoba menghubungi Kementerian Kesehatan terkait dugaan kebocoran data tersebut. Namun, mereka mengatakan Kementerian Kesehatan tidak menanggapi temuan ini.
Mereka kemudian menghubungi CERT* Indonesia dan Google, sebagai penyedia hosting e-HAC. Sayangnya, hingga awal Agustus, vpnMentor juga belum mendapat tanggapan dari pihak terkait.
Selanjutnya, vpnMentor menghubungi Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus dan mendapat tanggapan di hari yang sama. Pada 24 Agustus, server e-HAC akhirnya dimatikan.
Kemenkes menyebut kebocoran data di e-HAC yang lama
Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Ma'ruf angkat bicara soal dugaan kebocoran data di aplikasi e-HAC. Menurutnya memang ada kebocoran data, tapi itu aplikasi e-HAC yang lama.
“Kebocoran data terjadi di aplikasi Electronic Health Alert Card atau e-HAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021,” kata Anas dalam konferensi pers online, Selasa (31/8). 2021).
Anas menegaskan e-HAC yang digunakan saat ini dipastikan aman karena terintegrasi dengan aplikasi PeduliLindung, dan dikawal kementerian/lembaga terkait, termasuk BSSN. Ia menegaskan, dugaan kebocoran tersebut tidak terkait dengan aplikasi e-HAC di aplikasi PeduliLindung yang kini digunakan pemerintah.
"Dan saat ini tengah diberlakukan investigasi dan juga peninjauan lebih lanjut terkait dengan informasi dugaan kebocoran ini," kata Anas.
Kemenkes pun membenarkan bahwa kasus ini masih disebut sebagai dugaan kebocoran data. Pasalnya, istilah kebocoran data baru akan diterapkan setelah dilakukan audit forensik digital.
