Tim peneliti yang dikepalai Noam Rotem dan Ran Locar menyebutkan, kasus kebocoran data aplikasi e-HAC ditemukan pada 15 Juli 2021.
Mereka mengatakan, bocornya data pengguna disebabkan oleh lemahnya protokol keamanan di aplikasi e-HAC sehingga rentan ditembus pihak tidak bertanggung jawab.
Para pengembang juga disebut menggunakan database Elasticsearch yang kurang aman untuk menyimpan data.
Kasus ini tidak hanya mengungkap data pengguna e-HAC, tetapi juga seluruh infrastruktur terkait e-HAC, rumah sakit, dan pejabat yang menggunakan aplikasi tersebut.
Beberapa jenis data yang diduga bocor adalah tes Covid-19 yang dilakukan penumpang, data penumpang, data rumah sakit, hingga data staf e-HAC. Adapun rincian data tes Covid-19 yang bocor meliputi:
Ada pula data lain seperti Nomor Rekam Medis/Unit Records Number (URN) yang memuat data nama penumpang, nomor ID URN, dan nomor ID rumah sakit. Selain itu, data dari 226 rumah sakit dan klinik di Indonesia juga terekspos. Data tersebut mencakup:
Untuk penumpang, rincian data yang terekspos di antaranya:
Kebocoran ini juga mengekspos data staf e-HAC, seperti, nomor ID, nama, username akun e-HAC, dan alamat e-mail.
Aplikasi e-HAC
Aplikasi e-HAC merupakan Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika hendak bepergian di dalam ataupun luar negeri.
Bulan Juli lalu, Kementerian Komunikasi dan Informatika (Kemenkominfo) menambahkan fitur baru ke aplikasi PeduliLindungi untuk memudahkan akses aplikasi e-HAC.
Tujuannya adalah untuk memudahkan petugas bandara melakukan validasi sebelum penumpang check-in.
Untuk kasus kebocoran data aplikasi e-HAC, belum diketahui apakah data yang bocor adalah data yang tersimpan sebelum e-HAC terintegrasi dengan aplikasi PeduliLindungi atau setelahnya.
Dampak kebocoran data
Menurut peneliti keamanan siber VPNMentor, kebocoran data ini akan berdampak luas bagi penggunaan e-HAC dan upaya pemerintah Indonesia dalam menangani Covid-19.
Dari sisi pengguna, data yang dikumpulkan oleh pihak yang tidak berhak membuat pengguna rentan terhadap serangan peretasan dan penipuan.
Database e-HAC juga berpotensi membuka pintu bagi peretas untuk mengakses aplikasi secara langsung, sehingga peretas bisa mengubah data penumpang, termasuk hasil tes Covid-19.
"Mengingat skala data yang terungkap dan jumlah orang yang dites, aksi semacam itu bisa merugikan respons Indonesia terhadap pandemi," tulis VPNMentor dalam blog resminya.
KompasTekno telah menghubungi Kemenkes, Kominfo, serta Badan Siber dan Sandi Negara (BSSN) untuk mengonfirmasi kabar kebocoran data aplikasi e-HAC.
Juru Bicara Kementerian Kominfo, Deddy Permadi, mengatakan bahwa pihaknya tengah melakukan investigasi terkait dugaan kebocoran data ini.
Namun, hingga berita ini ditulis, belum ada tanggapan dari instansi lainnya.
Sebelumnya, VPNMentor juga telah menghubungi BSSN untuk memberi tahu temuan mereka. BSS kemudian menutup server e-HAC pada 24 Agustus 2021. Saat ini, web e-HAC di alamat https://inahac.kemkes.go.id/ tidak dapat diakses.
https://tekno.kompas.com/read/2021/08/31/11165387/ini-rincian-data-pengguna-e-hac-kemenkes-yang-diduga-bocor