JAKARTA, HOLOPIS.COM – VpnMentor peneliti siber menemukan kebocoran data dari aplikasi tes dan telusur COVID-19 yang dibuat oleh Kementerian Kesehatan Republik Indonesia, yaitu Electronic Health Alert Card atau eHAC.
Tim peneliti vpnMentor, Noam Rotem dan Ran Locar, mengatakan eHAC tidak memiliki privasi dan protokol keamanan data yang mumpuni secara ketat, sehingga mengakibatkan data pribadi lebih dari satu juta pengguna melalui server tersebut mudah untuk terekspos.
Aplikasi uji dan lacak eHAC dibuat oleh Kementerian Kesehatan (Kemenkes) pada tahun ini 202q. Aplikasi tersebut dipergunakan untuk dapat menampung data telusur Covid-19, serta berisi identitas lengkap masyarakat yang hendak berpergian.
Rotem dan Locar mengatakan tim menemukan basis data eHAC yang terbuka. Hal itu mereka lakukan sebagai bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
“Tim kami menemukan catatan eHAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” ujar salah satu tim peneliti vpnMentor.
“Setelah beberapa hari tidak ada balasan dari kementerian, kami mengontak Tim Tanggap Darurat Komputer dan juga Google sebagai penyedia hos eHAC. Pada awal Agustus, kami tidak juga menerima balasan dari kementerian atau lembaga terkait. Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN) yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan,” lanjut isi pernyataan vpnMentor.
Dalam laporannya, para peneliti vpnMentor menjelaskan pengembang eHAC menggunakan ‘database Elasticsearch’ tanpa jaminan untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut.
