SPcom JAKARTA – Kementerian Kesehatan Republik Indonesia (Kemenkes) menyarankan para pengguna Indonesia Health Alert Card atau eHAC versi lama supaya menghapus aplikasi itu, karena diduga mengalami kebocoran data.
“Pemerintah juga meminta untuk meng-uninstall, men-delete aplikasi eHAC yang lama dan terpisah,” kata Kapusdatin Kemenkes, Anas Ma”ruf, Selasa (31/8/2021).
Anas menyatakan, pemerintah saat ini meminta kepada seluruh masyarakat untuk mengunduh aplikasi Pedulilindungi dan memanfaatkan fitur eHAC untuk perjalananan yang sudah tergabung dalam aplikasi itu.
Mengenai dugaan kebocoran data eHAC versi lawas, Anas mengatakan, sebagai langkah mitigasi maka aplikasi versi lama sudah dinonaktifkan.
“Sejak Juli 2021, kita sudah menggunakan aplikasi Pedulilindungi, dan (eHAC) sudah berada di aplikasi Pedulilindungi. Sistem yang ada di eHAC yang lama itu, berbeda dengan eHAC yang bergabung dengan Pedulilindungi,” ujar Anas.
Anas mengatakan, peladen (server) dan infrastruktur aplikasi eHAC yang terintegrasi di Pedulilindungi berada di pusat data nasional dan didukung oleh Kementerian Komunikasi dan Informatika (Kemenkominfo) dan Badan Siber Sandi Negara (BSSN).
Kebocoran data pada eHAC itu diungkap oleh para peneliti siber dari vpnMentor.
Tim peneliti vpnMentor, Noam Rotem dan Ran Locar, mengatakan, eHAC tidak memiliki privasi dan protokol keamanan data yang mumpuni, sehingga mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.
Aplikasi eHAC atau Kartu Kewaspadaan Kesehatan dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes.
Rotem dan Locar mengatakan tim menemukan basis data eHAC yang terbuka.
Hal itu mereka lakukan sebagai bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
“Tim kami menemukan catatan eHAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” ujar salah satu tim peneliti vpnMentor.
“Setelah beberapa hari tidak ada balasan dari kementerian, kami mengontak Tim Tanggap Darurat Komputer dan juga Google sebagai penyedia host eHAC. Pada awal Agustus, kami tidak juga menerima balasan dari kementerian atau lembaga terkait. Kami mencoba memberitahu kepada sejumlah lembaga negara lain, salah satunya Badan Siber dan Sandi Negara (BSSN) yang didirikan buat menangani masalah keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian, pada 24 Agustus, peladen itu dinonaktifkan,” lanjut isi pernyataan vpnMentor.
Selain kebocoran data sensitif pengguna, para peneliti menemukan semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang sejumlah rumah sakit di Indonesia, serta pejabat pemerintah yang menggunakan aplikasi tersebut. (SP)