Jutaan Data Pribadi Pengguna Aplikasi eHAC Milik Kemenkes Dilaporkan Bocor
Peristiwa | 31 Agustus 2021, 12:11 WIBJAKARTA, KOMPAS.TV - Tim peneliti siber vpnMentor mendeteksi kebocoran jutaan data pribadi yang bersumber dari aplikasi milik Kementerian Kesehatan (Kemenkes), yaitu electronic Health Alert Card (eHac) atau kartu kewaspadaan.
Tim peneliti menyebut penemuan ini berawal dari pemetaan web yang dilakukan vpnMentor untuk membuat internet lebih aman bagi semua pengguna. Salah satunya mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
Dengan menggunakan pemindai web skala besar, pihaknya kemudian menelusuri penyimpanan data tidak aman yang berisi informasi yang tidak boleh diekspos.
Kemudian, vpnMentor menemukan penyimpanan data eHAC milik Kemenkes RI terbuka.
"Tim kami menemukan catatan eHAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," ujar salah satu tim peneliti vpnMentor dilansir dari laman resmi vpnmentor.com, Selasa (31/8/2021).
Lebih lanjut, vpnMentor menyatakan kebocoran data tersebut meliputi data pribadi penumpang pesawat hingga data rumah sakit.
Adapun data pribadi yang bocor dari Aplikasi eHAC, antara lain nomor ID atau Kartu Tanda Penduduk (KTP), nama lengkap, nomor ponsel, pekerjaan, alamat, kewarganegaraan, jenis kelamin, paspor, foto profil, nama orang tua hingga kerabat terdekat.
Sementara untuk kebocoran data rumah sakit meliputi ID rumah sakit, nama rumah sakit, negara, nomor lisensi, alamat dan lokasi lengkap dengan koordinat, nomor telepon dan WhatsApp rumah sakit serta jam buka.
Hal tersebut dapat diketahui tim peneliti vpnMentor lantaran website inahac.kemkes.go.id dan aplikasi eHAC benar-benar tidak aman dan tidak terenkripsi.
Menurut salah satu peneliti, eHAC menggunakan database Elasticsearch yang biasanya tidak dirancang untuk penggunaan URL.
Baca Juga: Wajib Punya, Aplikasi PeduliLindungi Jadi Syarat Perjalanan Mulai 28 Agustus 2021
Sebagaimana prosedur yang sudah dimiliki vpnMentor, pihaknya akan memberi tahu pemilik website bersangkutan hingga menyarankan cara untuk mengamankan sistem mereka.
"Etika ini juga berarti kita memikul tanggung jawab kepada publik. Pengguna eHAC harus waspada terhadap pelanggaran data yang mengekspos begitu banyak data sensitif mereka," ujarnya.
Kendati demikian, tim peneliti vpnMentor menegaskan pihaknya tidak pernah menjual, menyimpan, atau mengekspos informasi apa pun yang kami temui selama penelitian.
Perlu diketahui, eHac merupakan aplikasi yang harus diisi setiap penumpang dari luar negeri atau bepergian di wilayah domestik guna mencegah risiko penyebaran penyakit dari penumpang termasuk Covid-19.
Menurut laporan, aplikasi eHAC atau Kartu Kewaspadaan Kesehatan dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Aplikasi ini wajib diunduh orang asing maupun warga negara Indonesia yang bepergian di dalam negeri maupun luar negeri.
Pada proses pemberitahuan ke Kemenkes, pihak vpnMentor mendapat kendala lantaran tidak mendapat balasan hingga kemudian server dari website tersebut dimatikan.
Pertama, vpnMentor mencoba menghubungi Tim Darurat Komputer, Kementerian, dan juga Google sebagai penyedia hos eHAC.
Namun tidak ada jawaban baik dari kementerian dan lembaga terkait.
Selanjutnya, vpnMentor mencoba menghubungi Badan Siber dan Sandi Negara (BSSN) dan kemudian dibalas.
Namun, pada 24 Agustus diketahui server tersebut kemudian di nonaktifkan.
"Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN) yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan," kata vpnMentor.
Dalam laporannya, para peneliti vpnMentor menjelaskan pengembang eHAC menggunakan 'database Elasticsearch' tanpa jaminan untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.
Baca Juga: Sertifikat Vaksin Belum Muncul di PeduliLindungi? Ini Solusi dari Kemenkes
Menurut tim peneliti kebocoran data ini penting untuk diketahui dan ditindaklanjuti. Sebab dari data yang tercecer di dunia maya dapat mengakumulasi penjahat untuk melakulan peretasan hingga tindakan kriminal."Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data lebih banyak orang, efeknya bisa menghancurkan tingkat individu dan masyarakat," ujar peneliti vpnMentor.
Tim menambahkan sejumlah data yang dikumpulkan dari setiap individu yang menggunakan eHAC itu sangat rentan terhadap berbagai serangan dan penipuan. Pelaku dapat memanfaatkan data itu untuk melacak hingga menipu secara langsung yang bisa merugi hingga ribuan dollar.
Selain itu, jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban dalam kampanye phising melalui email, teks, atau panggilan telepon.
Diketahui sebelumnya, vpnMentor adalah situs web ulasan VPN terbesar di dunia. Lab penelitian ini bersifat pro bono yang berusaha membantu komunitas online mempertahankan diri dari ancaman dunia maya sambil mendidik tentang cara melindungi data pengguna.
Penulis : Nurul Fitriana Editor : Desy-Afrianti
Sumber : Kompas TV/vpnmentor.com