Aplikasi
Aplikasi e-HAC Milik Kemenkes Diduga Bocor, Daftar Data 1,3 Juta Pengguna yang Terungkap
Aplikasi e-HAC milik Kementerian Kesehatan ( Kemenkes ) diduga bocor, daftar data 1,3 juta pengguna yang terungkap, termasuk data penumpang
lihat foto
TRIBUNKALTIM.CO - Aplikasi e-HAC milik Kementerian Kesehatan ( Kemenkes ) diduga bocor sehingga data 1,3 juta pengguna terungkap.
Data apa saja yang terungkap dari aplikasi e-HAC yang diduga bocor tersebut, di dalamnya ada termasuk data penumpang.
Simak daftar data aplikasi e-HAC milik Kemenkes yang diduga bocor tersebut.
Namun, hingga saat ini belum ada tanggapan Kemenkes terkait dugaan kebocoran data aplikasi e-HAC.
Aplikasi e-HAC milik Pemerintah dalam hal ini Kemenkes adalah Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.
Kementerian Kesehatan mengklaim aplikasi e-HAC tidak memiliki protokol keamanan aplikasi yang memadai, sehingga rentan ditembus pihak tidak bertanggung jawab.
Baca juga: Mudah, Syarat Penerbangan Terbaru di Masa PPKM, Pakai Aplikasi PeduliLindungi Tak Perlu Isi e-HAC
Sebelumnya, kebocoran data di aplikasi e-HAC ini awalnya diungkap peneliti keamanan siber dari VPNMentor pada 15 Juli lalu.
Diperkirakan ada data 1,3 juta pengguna e-HAC yang terdampak kebocoran data seperti diunggah dalam blog resmi VPNMentor, seperti dilansir TribunKaltim.co dari kompas.com.
Ukuran data dari aplikasi e-HAC yang bocor tersebut kurang lebih mencapai 2 GB.
Pengembang e-HAC disebut menggunakan database Elasticsearch yang kurang aman untuk menyimpan data.
Menurut peneliti VPNMentor, kebocoran data ini akan berdampak luas bagi penggunaan e-HAC dan upaya pemerintah Indonesia dalam menangani pandemi Covid-19.
"Setelah peneliti menyelidiki database dan memastikan datanya otentik, kami menghubungi Kemenkes Indonesia untuk memberi tahu temuan kami," tulis VPNMentor dalam blog resminya.
Namun menurut VPNMentor, belum ada tanggapan dari Kemenkes terkait kebocoran data ini.
Mereka juga telah menghubungi Tim Tanggap Darurat Komputer Indonesia/Computer Emergency Response Team (CERT) dan Google sebagai penyedia hosting aplikasi e-HAC.
"Setelah mereka menyelidiki database dan memastikan bahwa catatan tersebut asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," lanjut seperti dikutip TribunKaltim.co dari Tribunnews.com di artikel yang berjudul Diduga Bocor! Aplikasi eHAC Milik Pemerintah Dilaporkan Ekspos Lebih dari 1 Juta Data Pribadi.
"Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT Indonesia dan, akhirnya, penyedia hosting Google – eHAC,” sebutnya lagi.
Hingga awal Agustus, vpnMentor menyatakan belum menerima jawaban dari pihak terkait.
Sehingga mereka mencoba menjangkau penyelidikan pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan cyber.
Tim Tanggap Darurat Komputer Indonesia (ID-CERT) adalah lembaga pemerintah yang bertanggung jawab untuk menangani insiden keamanan siber di negara Indonesia.
Sebagian besar negara memiliki lembaga serupa untuk menangani kebocoran dan peretasan data lokal.
"Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan," ujarnya.
Terintegrasi dengan Aplikasi PeduliLindungi
Belum diketahui apakah data yang bocor adalah data yang tersimpan sebelum e-HAC terintegrsi dengan aplikasi PeduliLindungi atau setelahnya.
Seperti diketahui, bulan Juli lalu, Kementerian Komunikasi dan Informatika (Kemenkominfo) menambahkan fitur baru di aplikasi PeduliLindungi untuk memudahkan akses ke aplikasi e-HAC.
Integrasi itu bertujuan untuk memudahkan petugas bandara melakukan validasi sebelum penumpang check-in.
KompasTekno telah mencoba menghubungi pihak-pihak terkait seperti Kemenkes, Kominfo, dan BSSN untuk mengonfirmasi kabar kebocoran data aplikasi e-HAC.
Namun hingga berita ini ditayangkan, belum ada tanggapan dari instansi terkait.
Baca juga: e-HAC Jadi Syarat Wajib Perjalanan Udara - Laut, Cara Lengkap Isi e-HAC via Aplikasi dan Website
Daftar Data di Aplikasi e-HAC yang Bocor
Kasus ini tidak hanya mengungkap data pengguna e-HAC, tapi juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data staff e-HAC.
Adapun beberapa data tes Covid-19 yang bocor adalah:
- Nomor identitas dan tipe penumpang (termasuk wisatawan domestik dan internasional)
- Nomor ID Rumah Sakit
- Nomor antrean saat melakukan tes
- Nomor referensi
- Alamat dan jadwal home visit
- Jenis tes (PCR, rapid antigen, dll), tanggal, dan tempat
- Hasil tes dan tanggal dikeluarkan ID dokumen e-HAC
Ada pula data lain seperti
- Nomor Rekam Medis/Unit Records Number (URN) yang memuat data nama penumpang, nomor ID URN, dan nomor ID Rumah Sakit. Selain itu, data dari 226 rumah sakit dan klinik di Indonesia juga terekspos.
Data tersebut mencakup:
- Profil Rumah Sakit (ID, nama, nomor lisensi, alamat dan lokasi persis dengan koordinat)
- Kontak Rumah Sakit, termasuk nomor WhatsApp dan jam buka
- Nama penanggung jawab penumpang
- Nama dokter penumpang
- Kapasitas Rumah Sakit Jenis tes yang diizinkan Rumah Sakit
- Informasi berapa banyak tes yang dilakukan setiap hari
- Jenis penumpang mana yang diperbolehkan di Rumah Sakit tersebut
Secara spesifik, data penumpang yang bocor di antaranya adalah:
- Detail penumpang (nomor KTP, nama lengkap, nomor ponsel, pekerjaan, gender, dll)
- Paspor dan foto profil yang dilampirkan ke akun e-HAC
- Data orang tua atau kerabat dekat penumpang ID foto penumpang tambahan
- Detail tentang akun e-HAC dan kapan akun dibuat
Kebocoran ini juga mengekspos data staff e-HAC seperti, nomor KTP, nama, username akun e-HAC, dan alamat e-mail.
Baca juga: Cara Isi e-HAC, Syarat Wajib Perjalanan Udara & Laut, Petunjuk Pengisian via Aplikasi atau Website
Temuan Kebocoran e-HAC
Tim peneliti vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar, menemukan pelanggaran data dalam program eHAC Indonesia yang dibuat untuk mengatasi penyebaran pandemi COVID-19 di negara ini.
eHAC atau electronic health alert card adalah aplikasi 'test and trace' bagi orang-orang yang masuk ke Indonesia untuk memastikan mereka tidak membawa virus ke negara tersebut.
Aplikasi ini didirikan pada tahun 2021 oleh Kementerian Kesehatan Indonesia.
Aplikasi ini merupakan persyaratan wajib bagi setiap pelancong yang memasuki Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing, juga diperlukan untuk penerbangan domestik di Indonesia.
Aplikasi eHAC diunduh ke perangkat seluler penumpang dan menyimpan status kesehatan terbaru mereka, data Personally Identifiable Information (PII), detail kontak, hasil tes COVID-19, dan banyak lagi.
Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server terbuka.
Dalam artikel tersebut dijelaskan bahwa vpnMentor bekerja keras untuk menerbitkan laporan yang akurat dan dapat dipercaya untuk memastikan semua orang yang membacanya memahami hal serius ini.
"Beberapa pihak yang terkena dampak menyangkal fakta, mengabaikan penelitian kami atau mengecilkan dampaknya. Jadi, kami harus teliti dan memastikan semua yang kami temukan benar dan akurat," tulis artikel tersebut.
Dalam hal ini, tim keamanan siber vpnMentor menemukan database yang terbuka sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi," sebut tim keamanan siber vpnMentor.
Baca juga: Tak Perlu Isi e-HAC, Syarat Penerbangan Terbaru di Masa PPKM, Cek Penerbangan dari dan Luar Jawa
(*)
