Suara.com - Peneliti menemukan adanya kebocoran 1,3 juta data pengguna aplikasi uji dan lacak milik Kementerian Kesehatan RI, eHAC.
Menyadur ZDNet Selasa (31/8/2021), para peneliti vpnMentor menemukan adanya kebocoran data pengguna aplikasi eHAC.
Aplikasi bernama Electronic Health Alert Card (eHAC) dibuat pada tahun 2021 oleh Kementerian Kesehatan Indonesia.
Aplikasi ini dibuat untuk melacak hasil tes setiap orang yang bepergian ke Indonesia untuk memastikan mereka tidak membawa virus Covid-19.
Baca Juga: Rekor! 338 Warga Banten Positif Covid-19 Meninggal Dunia Dalam 1 Hari
Bukan hanya turis asing, warga Indonesia yang hendak bepergian antar daerah juga diwajibkan mengunduh dan mengisi formulir yang ada di aplikasi tersebut.
Namun, baru-baru ini tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar menemukan jika aplikasi tersebut tidak memiliki privasi data yang tepat.
"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," jelas tim peneliti vpnMentor.
Aplikasi eHAC melacak status kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes Covid-19, dan data lainnya.
Setelah menemukan kejanggalan tersebut tim vpnMentor mengaku sudah menghubungi Kemenkes RI namun tidak mendapatkan balasan.
Baca Juga: Vaksinasi Covid-19 untuk Warga Lanjut Usia Secara Drive Thru
"Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan, akhirnya, Google - penyedia hosting eHAC," jelasnya.
"Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan." sambungnya.
Tim peneliti vpnMentor juga mengungkapkan jika mereka dapat dengan mudah mengakses data pengguna aplikasi eHAC yang tidak boleh terekspos.
"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. eHAC menggunakan database Elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL," jelas para peneliti.
Dalam laporannya, para peneliti menjelaskan bahwa pembuat aplikasi eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.
Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC juga ikut terekspos. Data tersebut termasuk informasi pribadi tentang rumah sakit serta pejabat pemerintah yang menggunakan aplikasi tersebut.
Data yang bocor tersebut antara lain nomor Kartu Tanda Penduduk (KTP), nomor paspor, data dan hasil tes Covid-19, data dan nomor telepon rumah sakit.
Sedangkan untuk pengguna warga Indonesia, data yang bocor diperkirakan berupa nama lengkap, nomor KTP, tanggal lahir, kewarganegaraan, pekerjaan, dan foto.
Para peneliti juga menemukan data 226 rumah sakit dan klinik di seluruh Indonesia, serta nama orang yang bertanggung jawab menguji setiap pelancong.
Peneliti juga menemukan kebocoran data dokter yang menjalankan tes, dan informasi tentang berapa banyak tes yang dilakukan setiap hari.
Data yang bocor bahkan memiliki informasi pribadi mengenai orang tua atau kerabat para pelancong serta detail hotel tempat mereka menginap.
Bahkan data anggota staf eHAC yang berisi nama, nomor KTP, nama akun, alamat email, dan kata sandi juga dilaporkan bocor.
"Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data pada lebih banyak orang, efeknya bisa menghancurkan pada tingkat individu dan masyarakat," imbau para peneliti.
"Sejumlah besar data yang dikumpulkan dan diekspos untuk setiap individu yang menggunakan eHAC membuat mereka sangat rentan terhadap berbagai serangan dan penipuan." tegasnya.
Para peneliti juga memperingatkan jika data tersebut bisa digunakan oleh pelaku kejahatan siber dalam kampanye phishing melalui email, teks, atau panggilan telepon.
Data 1,3 juta pengguna yang bocor tersebut juga dikhawatirkan dapat dimanfaatkan oleh pelaku untuk berpura-pura sebagai pejabat kesehatan dan melakukan penipuan.
Lebih parahnya lagi, pelaku peretas juga dapat mengubah data yang ada di aplikasi eHAC, sehingga berpotensi menghambat penanganan Covid-19.
Para peneliti mengimbau kepada pengembang eHAC untuk lebih memberikan jaminan keamanan server, menerapkan aturan akses yang tepat, dan memastikan untuk tidak meninggalkan sistem yang terbuka.