Kronologi Dugaan Kebocoran Data eHAC Kemenkes

Dugaan kebocoran data dari aplikasi Indonesia Health Alert Card atau eHAC yang digagas Kementerian Kesehatan Republik Indonesia (Kemenkes) ternyata ditemukan sejak pertengahan Juli lalu.

Menurut laporan tim peneliti dari vpnMentor, Noam Rotem dan Ran Locar, mereka sudah mendeteksi ada dugaan kebocoran data eHAC sejak 15 Juli lalu.

Dalam laporan yang mereka paparkan di situs vpnMentor, kemudian mereka mengontak Kemenkes pada 21 Juli, tetapi tidak ada tanggapan.

Kemudian vpnMentor juga mengontak Tim Tanggap Darurat Komputer Indonesia (CERT) pada 22 Juli dan Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) pada 16 Agustus lalu dan tetap tidak ada tanggapan.

Lalu vpnMentor juga mengontak Google sebagai penyedia hos bagi eHAC pada 25 Juli.

Lihat Juga : Data Rakyat-Pejabat di Aplikasi eHAC Kemenkes Diduga Bocor

Ternyata tim vpnMentor masih berbaik hati dan kembali mengontak Kemenkes pada 26 Juli, tetapi ternyata tetap tidak ada tanggapan.

Baru pada 22 Agustus lalu laporan vpnMentor ditanggapi oleh Badan Siber dan Sandi Negara (BSSN). Alhasil pada 24 Agustus, BSSN memutuskan mengambil tindakan dengan menonaktifkan peladen eHAC versi lama.

Menurut vpnMentor, mereka memperkirakan data eHAC yang bocor sebesar 2 Gigabyte. Jumlah data warga Indonesia dan warga asing yang menginstal eHAC dan bocor diperkirakan mencapai lebih dari 1.4 juta orang.

Sedangkan data eHAC yang terekspos saat ini mencapai 1.3 juta orang.

Tim vpnMentor bisa mengakses data eHAC karena aplikasi itu menggunakan database Elasticsearch yang disebut tidak dirancang buat penggunaan secara daring (URL). Mereka bisa mengakses data itu hanya melalui peramban dan dengan cara mengakali kategori pencarian di URL dengan indeks tunggal.

Lihat Juga : Polri Selidiki Kasus Dugaan Kebocoran Data eHAC Kemenkes

"Sebagai peretas yang punya etika, maka kami perlu memberitahu lembaga itu bahwa ada celah dari segi keamanan data secara daring. Kami menghubungi sejumlah pihak yang bertanggung jawab atas eHAC dan memberitahu mereka tentang bahaya itu dan mengusulkan cara buat mengamankan sistem mereka," kata vpnMentor.

"Etika ini membuat kami juga mempunyai punya pertanggungjawaban kepada masyarakat. Pengguna eHAC harus menyadari tentang kebocoran data yang mengungkap banyak data penting mereka. Tujuan kami melakukan proyek pemetaan itu adalah membuat internet lebih aman bagi kita semua. Kami tidak pernah menjual atau mengekspos informasi yang kami temukan dalam riset kami," lanjut vpnMentor.

Kebocoran jenis data eHAC yang diungkap vpnMentor adalah hasil tes Covid-19 termasuk nama orang yang melakukan tes, rumah sakit, nomor antrean, tipe tes hingga waktu dan tempat tes.

Selain itu, kebocoran data eHAC juga mengungkap data 226 rumah sakit di Indonesia, meliputi nama, alamat hingga kapasitas rumah sakit.

Kemudian data eHAC yang bocor juga meliputi data penumpang yang isinya merupakan identitas, nomor dan foto paspor, nomor Kartu Tanda Penduduk Elektronik yang digunakan saat membeli tiket, hotel tujuan penumpang dan data tambahan lainnya.

Lihat Juga : Pakar Sebut Data eHAC Diduga Bocor Mencoreng Indonesia

Menurut vpnMentor kebocoran data itu bisa mengancam individu seperti warga Indonesia atau asing karena data identitas mereka bisa disalahgunakan oleh peretas, seperti membobol akun rekening bank dan kartu kredit.

Selain itu, kebocoran data ini bisa memicu dan meningkatkan keraguan orang buat melakukan vaksinasi jika data mereka ternyata mudah bocor. Hal itu tentu bakal mempersulit upaya penanganan Covid-19 di dalam dan luar negeri.