Dalam laporannya, vpnMentor menjelaskan, pengembang eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Baca Juga:
Data Pribadi Jutaan ASN Bocor, Dibanderol Rp 159 Juta di Forum Hacker
Data yang bocor itu meliputi ID pengguna yang berisi nomor kartu tanda penduduk (KTP), paspor serta data dan hasil tes Covid-19, alamat, nomor telepon dan nomor peserta rumah sakit, nama lengkap, tanggal lahir, pekerjaan dan foto.
Tim juga menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan setiap hari, dan data tentang jenis pelancong.
Data yang bocor bahkan meliputi informasi pribadi yaitu kontak orang tua atau kerabat wisatawan, serta detail hotel yang disewa dan informasi tentang kapan akun eHAC dibuat.
Baca Juga:
Server Pusat Data Nasional Down, Waspadai Kebocoran Data
Bahkan vpnMentor juga menemukan data anggota staf eHAC yang meliputi nama, nomor ID, nama akun, alamat email dan kata sandi juga bocor.
Di samping itu pengamat menyerukan perlunya dibentuk otoritas perlindungan data pribadi (OPDP) yang independen imbas bocor data eHac dan BPJS Kesehatan.
Pembentukan otoritas itu dinilai dapat mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik dan keamanannya.
