Kemenkes: Dugaan Kebocoran Data eHAC Terjadi di Versi Lawas

Kementerian Kesehatan Republik Indonesia (Kemenkes) menyatakan dugaan kebocoran data Indonesia Health Alert Card atau eHAC terjadi pada aplikasi versi lama.

"Kebocoran data terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, sesuai dengan surat edaran kemenkes tentang digitaliasi bagi pengguna transportasi yang terintegrasi di pedulilindungi," kata Kapusdatin Kemenkes, Anas Ma'ruf, dalam jumpa pers secara virtual, Selasa (31/8).

Anas mengatakan aplikasi eHAC saat ini sudah terintegrasi di dalam aplikasi Pedulilindungi. Menurut dia sistem di eHAC versi lama berbeda dengan yang sudah tergabung dengan Pedulilindungi.

"Perlu saya sampaikan bahwa eHAC yang di Pedulilindungi servernya dan infrastrukturnya berada di pusat data nasional dan didukung oleh Kominfo dan BSSN (Badan Siber Sandi Negara)," ujar Anas.

Lihat Juga : Data Rakyat-Pejabat di Aplikasi eHAC Kemenkes Diduga Bocor

Kebocoran data pada eHAC itu diungkap oleh para peneliti siber dari vpnMentor.

Tim peneliti vpnMentor, Noam Rotem dan Ran Locar, mengatakan eHAC tidak memiliki privasi dan protokol keamanan data yang mumpuni, sehingga mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.

Aplikasi eHAC atau Kartu Kewaspadaan Kesehatan dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.

Rotem dan Locar mengatakan tim menemukan basis data eHAC yang terbuka. Hal itu mereka lakukan sebagai bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.

"Tim kami menemukan catatan eHAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," ujar salah satu tim peneliti vpnMentor.

Lihat Juga : Masuk Mal dan Kantor Wajib Pakai Aplikasi PeduliLindungi

"Setelah beberapa hari tidak ada balasan dari kementerian, kami mengontak Tim Tanggap Darurat Komputer dan juga Google sebagai penyedia hos eHAC. Pada awal Agustus, kami tidak juga menerima balasan dari kementerian atau lembaga terkait. Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN) yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan," lanjut isi pernyataan vpnMentor.

Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut.