Menguak Bocornya 1,3 Juta Data Pengguna Aplikasi eHAC, Siapa Harus Tanggung Jawab?

01 Sep 2021, 08:30:33 WIB Teknologi
Menguak Bocornya 1,3 Juta Data Pengguna Aplikasi eHAC, Siapa Harus Tanggung Jawab?

"Setelah beberapa hari tidak ada balasan dari kementerian, kami mengontak Tim Tanggap Darurat Komputer dan juga Google sebagai penyedia hos eHAC. Pada awal Agustus kami tidak juga menerima balasan dari kementerian atau lembaga terkait.," sebut vpnMentor.

"Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN) yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan," lanjut vpnMentor dalam pernyataannya.

Dalam laporannya, para peneliti vpnMentor menjelaskan pengembang eHAC menggunakan 'database Elasticsearch' tanpa jaminan untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.

Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut.

Data yang bocor itu meliputi ID pengguna yang berisi nomor kartu tanda penduduk (KTP), paspor serta data dan hasil tes Covid-19, alamat, nomor telepon dan nomor peserta rumah sakit, nama lengkap, tanggal lahir, pekerjaan dan foto.

Para peneliti juga menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan setiap hari, dan data tentang jenis pelancong.

Data yang bocor bahkan meliputi informasi pribadi yaitu kontak orang tua atau kerabat wisatawan, serta detail hotel yang disewa dan informasi tentang kapan akun eHAC dibuat.

Bahkan vpnMentor juga menemukan data anggota staf eHAC yang meliputi nama, nomor ID, nama akun, alamat email dan kata sandi juga bocor.

"Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data lebih banyak orang, efeknya bisa menghancurkan tingkat individu dan masyarakat," ujar peneliti vpnMentor seperti dikutip ZDnet.

Tim menambahkan sejumlah data yang dikumpulkan dari setiap individu yang menggunakan eHAC itu sangat rentan terhadap berbag2ai serangan dan penipuan.

Pelaku dapat memanfaatkan data itu untuk melacak hingga menipu secara langsung yang bisa merugi hingga ribuan dollar.

Selain itu, jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban dalam kampanye phising melalui email, teks, atau panggilan telepon.

Di samping itu para peneliti menyarankan kepada pengembang eHAC untuk mengamankan server, menerapkan aturan akses yang tepat, dan memastikan untuk tidak meninggalkan sistem yang terbuka di internet.

eHAC bukan satu-satunya aplikasi terkait informasi data sensitif masyarakat untuk telusur dan tes Covid-19 yang menghadapi permasalahan rentannya kebocoran data.

Sejak awal pandemi, kemunculan aplikasi seperti itu menimbulkan kekhawatiran di antara para peneliti yang telah berulang kali menemukan kerentanan aplikasi

Pada Mei lalu informasi kesehatan pribadi milik puluhan ribu warga Pennsylvania, Amerika Serikat terungkap setelah pelanggaran data di vendor Departemen Kesehatan menuduh vendor mengekspos data 72 ribu orang dengan sengaja mengabaikan protokol keamanan.

Atas dugaan kebocoran tersebut, Kemenkes mengklarifikasi bahwa dugaan kebocoran tersebut terjadi pada aplikasi eHAC yang lama.

Saat ini aplikasi tersebut sudah terintegrasi dengan aplikasi PeduliLindungi sejak 2 Juli lalu.

"Kebocoran data terjadi di aplikasi eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021, sesuai dengan Surat Edaran dari Kemenkes No. HK/02/01/Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi penggunaan transportasi udara yang terintegrasi dengan PeduliLindungi," kata Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf, dalam keterangan pers virtual, Selasa (31/8/2021).

Anas menegaskan bahwa dugaan kebocoran data ini tak ada kaitannya dengan PeduliLindungi.

Terkait kabar ini, pihak kementerian dan lembaga terkait dengan melakukan investigasi lanjutan. Anas menambahkan, dugaan kebocoran ini kemungkinan terjadi pada pihak mitra dari Kemenkes.

"Dugaan kebocoran ini tidak terkait dengan aplikasi eHAC yang ada di PeduliLindungi dan saat ini tengah dilakukan investigasi dan peninjauan lebih lanjut terkait info dugaan kebocoran ini," tambahnya.

"Dugaan kebocoran data di eHAC yang lama diakibatkan kemungkinan adanya dugaan kebocoran di pihak mitra dan ini sudah diketahui pemerintah," sambungnya.

Aplikasi Peduli Lindungi saat ini perannya begitu vital. Setiap masyarakat yang ingin masuk mal dan naik transportasi udara wajib mengisi data di aplikasi ini.

Ke depannya hampir seluruh aspek kehidupan disinkronkan ke aplikasi Peduli Lindungi.

Selain itu, Anas juga menyampaikan bentuk upaya pencegahan yang dilakukan yakni dengan melibatkan Kemkominfo maupun lembaga terkait lainnya.

"Saat ini pemerintah sudah melakukan tindakan pencegahan serta melakukan upaya lebih lanjut dengan melibatkan Kemkominfo dan pihak berwajib dengan amanat peraturan pemerintah No. 17 tahun 2017 tentang penyelenggaraan sistem dan transaksi elektronik," klaimnya.

Minta Hapus

Dia meminta agar masyarakat tak lagi menggunakan aplikasi lama tersebut dan segera menghapusnya. Aplikasi tersebut bisa digunakan melalui PeduliLindungi.

"Pemerintah juga meminta kepada masyarakat untuk menghapus, menghilangkan, atau men-delete atau uninstall aplikasi eHAC yang lama yang terpisah," kata Anas.

Direktur Jenderal Kependudukan dan Pencatatan Sipil Kementerian Dalam Negeri (Dukcapil Kemendagri), Zudan Arif Fakrulloh memastikan tidak ada data di eHAC yang mengakses data center Dukcapil.

"Untuk data e-HAC menurut Kemenkes data yang sudah tidak digunakan lagi sejak tanggal 2 Juli 2021, karena sudah diintegrasikan ke dalam PeduliLindungi. Untuk data e-HAC tidak pernah mengakses dari data center dukcapil." ujar Zudan saat dikonfirmasi Tribun, Selasa (31/8/2021)

Sedangkan mengenai Nomor Identitas Kependudukan(NIK) yang diisi pengguna eHAC saat register atau pendaftaran pertama kali, Zudan menegaskan bahwa eHAC tidak sama sekali mengakses data dari Dukcapil.

Bahkan, jika pengguna eHAC mengisi dengan keliru atau asal-asalan NIK untuk mendaftar, hal tersebut tidak menjadi persoalan karena di e-HAC tidak ada proses verifikasi NIK.

"Tidak akses data dukcapil. NIK dimasukan asal-asalan juga tidak apa-apa. Di eHAC tidak ada verifikasi NIK," kata Zudan.

Kata Zudan, kepastian mengenai tidak adanya data dari Dukcapil di aplikasi eHAC didapat setelah pihaknya melakukan penyelidikan dan berkoordinasi dengan Kementerian Kesehatan dan Kementerian Komunikasi dan Informasi.

Di sisi lain, Mabes Polri akan menyelidiki kasus kebocoran 1,3 juta data pengguna aplikasi eHAC.

"Ya bantu laksanakan lidik," kata Kepala Divisi Humas Polri Irjen Pol Argo Yuwono kepada wartawan, Selasa (31/8/2021).

Argo menyampaikan nantinya kasus itu akan ditangani oleh Direktorat Tindak Pidana Siber Bareskrim Polri. "Secara teknis biarkan penyidik cyber bekerja," kata dia. [SB]

<< Kembali ke Halaman Sebelumnya




Sekilas Info

COVID-19 Indonesia Hari Ini

  • Positif : 4.255.936
    Sembuh : 4.103.914
    Meninggal : 143.808
    Dirawat : 8.214

Berita Populer

kanan - bataroster.com
kanan - MYPIN DELIVERY
+ Indexs Berita

Berita Terbaru

Write a Facebook Comment

Tuliskan Komentar anda dari account Facebook

kanan - bataroster.com
kanan - MYPIN DELIVERY