Saran untuk Kemenkes
Peneliti Keamanan Siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada menanggapi terkait terkait dugaan kebocoran data pada aplikasi Indonesia Health Alert Card (eHAC). Menurutnya, kelengahan dari pengembang bisa mengakibatkan pemilik akun e-HAC menjadi target profiling dan penipuan dengan modus Covid-19 terutama, seperti telemedicine palsu maupun semacamnya.
"Pemerintah sendiri lewat BSSN cukup cepat melakukan respons setelah mendapatkan info dari tim vpnMentor, dengan rekomendasi melakukan takedown pada server aplikasi. Seharusnya, saat pertama kali Kemenkes mendapatkan info tersebut, langsung melakukan aksi baik dengan kontak ke BSSN atau langsung men-takedown sendiri," katanya saat dihubungi Republika, Selasa (31/8).
Kemudian, ia melanjutkan data yang sudah tersebar ke internet mustahil untuk dihilangkan karena sudah menyebar ke mana-mana. Dalam kasus ini ada data berjumlah 1,4 juta dari 1,3 juta pengguna eHAC.
Data berupa nama, nama rumah sakit, alamat, hasil tes PCR, akun eHAC, bahkan data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa pengguna eHAC. Bahkan ada data hotel di mana menginap, nomor KTP dan passpor, email dan lainnya.
Pratama menyarankan, ada beberapa hal yang harus dilakukan Kemenkes. Pertama, amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk. Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Selanjutnya, lakukan pengecekan secara berkala, untuk semua sistem yang dimiliki, untuk mendeteksi kerawanan.
"Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem eHAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure dan tidak ada implementasi enkripsi, sehingga data yang diambil plain tidak diacak sama sekali," kata dia.
Sebelumnya, peneliti dari vpnMentor menemukan pelanggaran data yang melibatkan aplikasi tes dan pelacakan Covid-19 yang dibuat Pemerintah Indonesia. Dilansir dari ZDnet, Selasa (31/8) informasi paspor dan data perawatan kesehatan dari aplikasi tes dan lacak Covid-19 Indonesia untuk pelancong bocor.
Aplikasi pengujian dan pelacakan bernama Electronic Health Alert Card atau eHAC dibuat pada 2021 oleh Kemenkes Indonesia. Tim vpnMentor, yang dipimpin Noam Rotem dan Ran Locar, mengatakan, aplikasi itu tidak memiliki privasi data yang tepat.
Aplikasi ini dibangun untuk menampung hasil tes dari mereka yang bepergian ke Indonesia untuk memastikan mereka tidak terinfeksi Covid-19. Aplikasi ini juga merupakan persyaratan wajib bagi siapa pun yang terbang ke Indonesia dari negara lain.
Baik orang asing maupun warga negara Indonesia harus mengunduh aplikasi. Aplikasi eHAC melacak status kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes Covid-19, dan data lainnya.
Rotem dan Locar mengatakan, tim mereka menemukan basis data yang terbuka. Ini merupakan bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.
"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," kata tim peneliti vpnMentor.
Dalam laporan mereka, para peneliti menjelaskan bahwa orang yang membuat eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa, semua infrastruktur di sekitar eHAC terekspos. Yang terekspos termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.