Kronologi Dugaan Kebocoran Data 1,3 Juta Pengguna Aplikasi E-HAC

KOMPAS.com - Data pengguna aplikasi Electronic Health Alert (e-HAC) yang dikembangkan Kementerian Kesehatan (Kemenkes) diduga bocor. Berdasarkan laporan dari VPNMentor, setidaknya ada 1,3 juta pengguna aplikasi e-HAC yang terdampak kebocoran data ini.

Aplikasi e-HAC merupakan Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.

Menanggapi temuan ini, saat dihubungi melalui pesan singkat, pada Selasa (31/8/2021), Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan menerangkan kronologi mengenai kasus kebocoran data yang menimpa pengguna aplikasi e-HAC. Selengkapnya sebagai berikut.

• 22 Juli 2021, VPN Mentor pihak yang mempublikasi informasi tersebut pada awalnya mengirimkan informasi tentang kebocoran data aplikasi e-HAC milik Kementerian Kesehatan ke Indonesia Computer Emergency Response Team (CERT.ID), namun tidak mendapat respon.

• 23 Agustus 2021 pukul 06.00 WIB, VPNMentor kembali mengirimkan laporan tersebut melalui email ke ID-SIRTII (Indonesia Security Incident Response Team On Internet Infrastructure) dan bantuan70@bssn.go.id.

• Laporan yang dikirim VPNMentor kemudian direspon oleh  Tim Tanggap Insiden BSSN pada 23 Agustus 2021 pukul 08.39 WIB, setelah memverifikasi informasinya.

• Pada hari yang sama (23 Agustus 2021), tim BSSN langsung berkoordinasi dengan pihak Kementerian Kesehatan untuk menindaklanjuti laporan ini.

• 24 Agustus 2021, Tim BSSN melakukan verifikasi dan mengkonfirmasi kembali ke pihak Kementerian Kesehatan melalui laporan dengan Nomor 021/TI/SDE.824.1/N/2021.

• 25 Agustus 2021, Tim Kementerian Kesehatan menindaklanjuti laporan itu dengan mengatasi celah keamanan pada aplikasi e-HAC. Tim BSSN mengkonfirmasi hal ini kepada pihak Kementerian Kesehatan pada 25 Agustus 2021 pukul 15.31 WIB.

Kebocoran data e-HAC pertama kali ditemukan VPNMentor pada 15 Juli

Dalam sebuah laporan di situsnya, VPNMentor membenarkan bahwa pihaknya mengontak CERT.ID pada tanggal 22 Juli 2021 untuk menyampaikan soal temuan kebocoran data di aplikasi e-HAC.

Sebelum itu, disebutkan bahwa VPNMentor pertama kali menemukan database bocoran data pada 15 Juli, lalu menghubungi Kemenkes Indonesia pada 21 Juli 2021. VPNMentor kembali mengontak Kemenkes lima hari setelahnya, pada 26 Juli 2021.

Pada 24 Juli 2021, VPNMentor menginformasikan soal kebocoran data terkait kepada Google selaku hosting provider. Laporan ikut diberikan kepada Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) pada 16 Agustus, dan BSSN pada 22 Agustus.

Sebagaimana dihimpun KompasTekno dari situs VPNMentor, Selasa (31/8/2021), respon akhirnya didapatkan dari pihak BSSN pada tanggal penyampaian laporan kebocoran data.

"Kami menghubungi mereka (BSSN) pada tanggal 22 Agustus 2021 dan mereka menjawab pada hari yang sama. Dua hari kemudian, yaitu 24 Agustus 2021, server akhirnya dimatikan," tulis VPNMentor.

Kementerian Komunikasi dan Informatika mengatakan bahwa kebocoran data pengguna terjadi pada aplikasi e-HAC versi awal yang masih berdiri terpisah, belum terintegrasi dengan aplikasi PeduliLindungi.

Menurut Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Maruf, aplikasi e-HAC versi lama tersebut sudah tidak digunakan lagi sejak 2 Juli 2021. Dia mengatakan, sistem aplikasi e-HAC yang terintegrasi di aplikasi PeduliLindungi berbeda dari versi lama.

"Infrastruktur dan servernya juga berbeda dan berada di tempat yang tak sama," ujar Anas. Kendati demikian, masyarakat tetap diminta untuk menghapus aplikasi e-HAC versi lama apabila masih terpasang di ponsel.