Laporan vpnMentor: Sejak 21 Juli, Kemenkes Tak Merespons Temuan Risiko Kebocoran Data eHAC

ERA.id - Tim riset dari perusahaan vpnMentor menemukan bahwa aplikasi tes dan telusur Covid-19 milik Kementerian Kesehatan Indonesia, bernama aplikasi eHAC, berisiko membuka data sensitif dari sekitar 1,3 juta warga Indonesia dan pengunjung luar negeri  yang datang ke negeri ini.

Aplikasi eHAC, singkatan dari Health Alert Card, diciptakan pada 2021 oleh Kementerian Kesehatan Indonesia. Aplikasi yang dibuat untuk mencegah sebaran Covid-19 ini sifatnya wajib dipakai para pelancong di Tanah Air, entah itu warga negara Indonesia atau WNA.

Dipakai dengan cara diunduh via ponsel, eHAC menyimpan identitas pribadi, detail kontak dan alamat, hasil tes Covid-19, dan sejumlah data lainnya, demikian disebut oleh vpnMentor dalam blognya, (30/8/2021).

Tim periset dipimpin oleh ilmuwan Noam Rotem dan Ran Locar belakangan menemukan bahwa aplikasi eHAC ternyata tak memiliki protokol keamanan data pribadi yang baik. Gawatnya, aplikasi ini justru membuka data sensitif dari 1,3 juta penggunanya melalui sebuah server terbuka.

"Tim kami menemukan data eHAC tanpa satu pun hambatan, karena tidak adanya protokol yang dibuat oleh pengembang aplikasi," sebut tim riset vpnMentor.

"Setelah mereka menginvestigasi database dan mengonfirmasi bahwa datanya otentik, mereka menghubungi Kementerian Kesehatan Indonesia dan menunjukkan temuan kami."

Kemenkes tidak memberikan balasan berhari-hari setelah dikontak oleh tim periset, sebut vpnMentor.

Akhirnya, tim tersebut menghubungi Computer Emergency Response Team (CERT) Indonesia dan, bahkan, Google, yang merupakan hos server eHAC. "Hingga awal Agustus, kami belum mendapat tanggapan apapun dari pihak-pihak terkait," sebut vpnMentor dalam laporannya.

Pada 22 Agustus - atau satu bulan sejak kontak pertama dengan Kemenkes - vpnMentor akhirnya menghubungi Badan Siber dan Sandi Negara (BSSN) terkait masalah tersebut, dan badan pemerintah itu langsung menanggapi di hari yang sama. Dua hari kemudian, pada 24 Agustus, server eHAC langsung dimatikan.

Penjelasan linimasa kontak oleh tim riset vpnMentor kepada pemerintah Indonesia terkait risiko kebocoran data dari aplikasi eHAC. (Foto: vpnMentor)

Dalam laporannya, tim periset menyebut bahwa 1,4 juta data yang dimasukkan oleh 1,3 juta pengguna eHAC disimpan "menggunakan database Elasticsearch yang tidak aman". Selain risiko bocornya data pribadi individu, informasi di sekitar infrastruktur eHAC ternyata juga terbuka dengan bebas, termasuk informasi rahasia soal rumah sakit di Indonesia dan juga data pejabat pemerintahan yang memakai aplikasi itu.

Contoh data yang bisa diakses via server eHAC yang tak terlindungi. (Foto: vpnMentor)

Kemenkes pada Selasa, (31/8/2021), membenarkan adanya dugaan "kebocoran data" di aplikasi eHAC. Kapusdatin Kemenkes Anas Ma'ruf mengatakan bahwa pemerintah sedang menginvestigasi kasus ini bersama dengan Kementerian Komunikasi dan Informatika.

"Saat ini, sedang dilakukan investigasi terkait informasi dugaan kebocaran ini," kata Anas dalam konferensi pers di YouTube Kementerian Kesehatan RI, Selasa.

Anas mengatakan, kebocaraan tersebut diduga diakibatkan dari mitra  eHAC Kementerian Kesehatan. Hal tersebut, menurutnya, sudah diketahui oleh pemerintah.

Sebagai langkah pencegahan, pemerintah telah menonaktifkan aplikasi eHAC. Untuk saat ini, eHAC hanya bisa diakses melalui aplikasi PeduliLindungi

"(Kebocoran data eHac) ini sudah diketahui oleh pemerintah dan saat ini pemerintah melakukan tindakan pencegahan serta melakukan upaya lebih lanjut dengan melibatkan Kementerian Kominfo dan pihak berwajib," kata Anas.

Lebih lanjut, Anas menjelaskan, dugaan kebocoran terjadi pada aplikasi eHAC lama yang sudah tidak digunakan lagi sejak 2 Juli 2021. Setelah tak digunakan, pemerintah mengalihkan eHac menjadi salah satu fitur di dalam aplikasi PeduliLindungi.