WahanaNews.co | Para peneliti siber dari vpnMentor menemukan kebocoran data dari aplikasi tes dan telusur Covid-19 atau Kartu Waspada Elektronik yang dibuat Kementerian Kesehatan Republik Indonesia (Kemenkes), yaitu Electronic Health Alert Card atau eHAC.
Tim peneliti vpnMentor, Noam Rotem dan Ran Locar, mengatakan, eHAC tidak memiliki privasi dan protokol keamanan data yang mumpuni, sehingga mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.
Baca Juga:
Jadi Korban Bjorka, Anies: Salah Itu Data-datanya
Aplikasi uji dan lacak eHAC dibuat oleh Kementerian Kesehatan (Kemenkes) pada tahun ini.
Aplikasi itu digunakan untuk menampung data telusur Covid-19, serta berisi identitas lengkap seseorang yang hendak berpergian.
Menurut laporan, aplikasi eHAC atau Kartu Kewaspadaan Kesehatan dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Baca Juga:
Akui Ulah Bjorka, Mahfud MD: Kebetulan Bukan Data Rahasia
Baik orang asing maupun warga negara Indonesia wajib mengunduh aplikasi tersebut, bahkan bagi mereka yang bepergian di dalam negeri.
Rotem dan Locar mengatakan, tim menemukan basis data eHAC yang terbuka.
Hal itu mereka lakukan sebagai bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
"Tim kami menemukan catatan eHAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," ujar salah satu tim peneliti vpnMentor.
"Setelah beberapa hari tidak ada balasan dari kementerian, kami mengontak Tim Tanggap Darurat Komputer dan juga Google sebagai penyedia host eHAC. Pada awal Agustus, kami tidak juga menerima balasan dari kementerian atau lembaga terkait. Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN), yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus, dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan," lanjut isi pernyataan vpnMentor.
Dalam laporannya, para peneliti vpnMentor menjelaskan, pengembang eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Data yang bocor itu meliputi ID pengguna yang berisi nomor Kartu Tanda Penduduk (KTP), paspor, serta data dan hasil tes Covid-19, alamat, nomor telepon, dan nomor peserta rumah sakit, nama lengkap, tanggal lahir, pekerjaan, dan foto.
Para peneliti juga menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan setiap hari, dan data tentang jenis pelancong.
Data yang bocor bahkan meliputi informasi pribadi, yaitu kontak orangtua atau kerabat wisatawan, serta detail hotel yang disewa dan informasi tentang kapan akun eHAC dibuat.
Bahkan, vpnMentor juga menemukan data anggota staf eHAC yang meliputi nama, nomor ID, nama akun, alamat email dan kata sandi juga bocor.
"Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data lebih banyak orang, efeknya bisa menghancurkan tingkat individu dan masyarakat," ujar peneliti vpnMentor, seperti dikutip ZDnet.
Tim menambahkan, sejumlah data yang dikumpulkan dari setiap individu yang menggunakan eHAC itu sangat rentan terhadap berbagai serangan dan penipuan.
Pelaku dapat memanfaatkan data itu untuk melacak hingga menipu secara langsung yang bisa merugi hingga ribuan dollar.
Selain itu, jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban dalam kampanye phising melalui email, teks, atau panggilan telepon.
Di samping itu, para peneliti menyarankan kepada pengembang eHAC untuk mengamankan server, menerapkan aturan akses yang tepat, dan memastikan untuk tidak meninggalkan sistem yang terbuka di internet.
Di sisi lain, eHAC bukan satu-satunya aplikasi terkait informasi data sensitif masyarakat untuk telusur dan tes Covid-19 yang menghadapi permasalahan rentannya kebocoran data.
Sejak awal pandemi, kemunculan aplikasi seperti itu menimbulkan kekhawatiran di antara para peneliti yang telah berulang kali menemukan kerentanan aplikasi.
Pada Mei lalu, informasi kesehatan pribadi milik puluhan ribu warga Pennsylvania, Amerika Serikat, terungkap setelah pelanggaran data di vendor Departemen Kesehatan menuduh vendor mengekspos data 72 ribu orang dengan sengaja mengabaikan protokol keamanan.
Media sudah mencoba melakukan konfirmasi kepada Kemenkes dan Kementerian Komunikasi dan Informatika terkait hal ini.
Hingga berita ini ditulis, kedua pihak belum memberikan pernyataan resmi. [dhn]