eHAC Bocor: Kronologi, Langkah BSSN dan Saran untuk Kemenkes

REPUBLIKA.CO.ID, oleh Flori Sidebang, Dian Fath Risalah, Haura Hafizhah

Peneliti dari vpnMentor menemukan peretasan data (data breach) terhadap aplikasi tes dan pelacakan Covid-19 yang dibuat Pemerintah Indonesia. Juru Bicara Badan Siber dan Sandi Nasional (BSSN) Anton Setiawan membenarkan adanya celah dalam sistem aplikasi pengujian dan pelacakan bernama Electronic Health Alert Card atau eHAC yang dapat dieksploitasi oleh pihak luar untuk mencuri data pengguna.

Baca Juga

"Ada celah dalam sistem yang bisa dieksplotasi bagi pihak luar untuk mencuri data, sudah dibuktikan oleh tim VPN Mentor dan sudah pula diverifikasi oleh tim BSSN," kata Anton kepada Republika, Selasa (31/8).

Ia menuturkan, hal itu, juga telah diverifikasi oleh tim BSSN. Namun, menurutnya, hingga kini belum ada data pengguna yang bocor atau dicuri.

"Sampai saat ini belum ada (data yang bocor atau dicuri)," ujarnya.

Anton pun mengungkapkan kronologi informasi mengenai dugaan bocornya data pengguna eHAC Kementerian Kesehatan (Kemenkes). Awalnya, kata dia, VPN Mentor sebagai pihak yang mempublikasi informasi tersebut mengirimkan informasi ke CERT.ID pada 22 Juli 2021 mengenai kerentanan aplikasi eHAC milik Kementerian Kesehatan. Namun, laporan itu tidak mendapatkan tanggapan dari pihak CERT.ID.

Kemudian, VPN mentor menyampaikan email ke IdSIRTII dan [email protected], pada 23 Agustus 2021 pukul 06.00 WIB. Lalu, direspons oleh rekan-rekan Tim Tanggap Insiden BSSN pada 23 Agustus 2021 pukul 08.39 WIB setelah memverifikasi informasi tersebut.

"Selanjutnya Tim BSSN pada hari tersebut langsung berkoordinasi dengan pihak Kementerian Kesehatan mengenai hal ini," ungkap dia.

Tak sampai disitu, Anton menuturkan, tim pun memverifikasi kembali dan menyampaikan bahwa aplikasi tersebut merupakan milik Kemenkes. Selain itu, mengonfirmasi kembali ke pihak Kemenkes pada tanggal 24 Agustus 2021 melalui notifikasi laporan dengan Nomor 021/TI/SDE.824.1/N/2021.

Selanjutnya, dia menyebut, tim Kementerian Kesehatan menindaklanjuti dengan menutup kerentanan tersebut pada 25 Agustus 2021. Tim BSSN mengonfirmasi hal ini kepada pihak Kemenkes pada pukul 15.31 WIB.

"Sudah ditutup kerentanan (eHAC) dan tidak digunakan lagi, sesuai kebijakan Kemenkes sudah menggunakan eHAC yang terintergrasi di aplikasi Peduli Lindungi," jelasnya.

Kepala Pusat Data dan Informasi Kemenkes, Anas Maruf menjelaskan, kebocoran data dan informasi aplikasi Electronic Health Alert Card atau eHAC terjadi di aplikasi yang lama.

"Kebocoran data terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak 2 Juli 2021," ujar Anas dalam keterangan secara daring, Selasa (31/8).

Saat ini, lanjut Anas, aplikasi eHAC sudah terintegrasi dengan aplikasi Peduli Lindungi. Ia pun memastikan sistem yang ada di Peduli Lindungi berbeda dengan sistem eHAC yang lama.

"Infrastrukturnya berbeda," terangnya.

Perihal dugaan kebocoran data dan informasi di aplikasi lama eHAC, pemerintah langsung melakukan investigasi. Dugaannya diakibatkan adanya dugaan kebocoran pihak mitra.

Saat ini, pemerintah juga sudah melakukan pencegahan dengan upaya lebih lanjut dengan Kominfo dan pihak berwajib sesuai dengan Peraturan Pemerintah (PP) Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik. Sebagai langkah mitigasi, aplikasi eHAC yang lama sudah dinonakifkan.

"Sekarang yang digunakan yang ada di Peduli Lindungi," ujarnya.

Ia pun memastikan, perihal eHAC yang ada di Peduli Lindungi dilindungi server yang berada di pusat data nasional yang terjamin keamanannya lantaran dilindungi BSSN dan Kominfo.

"Pemerintah meminta masyarakat untuk mengunduh Peduli Lindungi dan manfaatkan eHAC untuk perjalanan yang terintegarasi Peduli Lindungi, dan kami minta menghapus aplikasi eHAC yang lama," ujarnya.