Ahli IT Singgung Bahaya Kebocoran Data 1,3 Juta Pengguna eHAC
Data eHAC atau Indonesian Health Alert Card di aplikasi versi lama diduga bocor. Ahli IT alias teknologi informasi menilai, data eHAC bocor ini berbahaya, karena bisa digunakan untuk menipulasi kesehatan.
Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya mengatakan bahwa data terkait kesehatan, seperti di aplikasi eHAC sangat penting. "Kalau ada peretas, mereka bisa melakukan tindakan kejahatan dengan mudah," ujarnya kepada Katadata.co.id, pada Selasa (31/8).
Peretas bisa mengubah data hasil kesehatan, seperti tes Covid-19. "Itu akan menyebabkan kekacauan yang potensial terjadi pada pandemi corona ini," katanya.
Selain itu, penyimpanan data eHAC yang tidak aman membuat nama Indonesia tercoreng. Sebab, sebelumnya pemerintah mewajibkan orang asing yang masuk ke Indonesia mengunduh aplikasi eHAC.
Peneliti Keamanan Siber Communication Information System Security Research Center (CISSReC) Pratama Persadha sepakat, kelengahan pengembang aplikasi eHAC akan mengakibatkan pengguna menjadi target profiling dan penipuan. "Pelaku akan menggunakan modus baru, seperti telemedicine palsu maupun semacamnya," katanya.
Pemerintah juga akan terkena dampak, karena dianggap tidak mampu menjaga data kesehatan masyarakat. Imbasnya, ketidakpercayaan warga terhadap proses penanggulangan Covid-19 dan usaha vaksinasi meningkat.
Ia mengimbau pemerintah melalui Kementerian Kesehatan (Kemenkes) mengamankan server yang dipakai. Lalu membuat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk.
Kemenkes juga harus mengenkripsi data. "Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet," ujarnya.
Selain itu, Kemenkes perlu mengecek secara berkala data eHAC. Ini untuk mendeteksi kerawanan.
Dugaan data eHAC pertama kali diungkap oleh peneliti dari vpnMentor yang digawangi oleh Noam Rotem dan Ran Locar. Mereka menemukan data 1,3 juta pengguna eHAC bocor.
Mereka menyampaikan, eHAC tidak menggunakan protokol privasi yang baik. Alhasil, data sensitif dari 1 juta lebih orang terekspos di open server.
Keduanya menemukan adanya pelanggaran data program eHAC Indonesia untuk mengatasi penyebaran pandemi. Pengembang aplikasi dinilai gagal menjaga privasi data pengguna.
Kebocoran data itu terjadi pada seluruh infrastruktur eHAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi. Beberapa data yang bocor antara lain alamat, jenis tes Covid-19, ID rumah sakit, hasil tes, serta dokumen eHAC.
Kemenkes mengakui dugaan kebocoran data eHAC di aplikasi versi lama. Kementerian menyampaikan, aplikasi eHAC versi lama tidak digunakan sejak 2 Juli.
Saat ini, Kemenkes menggandeng lembaga lain untuk menginvestigasi lebih lanjut soal dugaan kebocoran data eHAC. "Dugaan kebocoran data eHAC yang lama diakibatkan kemungkinan kebocoran di pihak mitra. Ini sudah diketahui oleh pemerintah," kata Kepala Pusat Data dan Informasi Kemenkes Anas Ma'ruf saat konferensi pers virtual, Selasa (31/8).
Meski begitu, dugaan kebocoran data eHAC diklaim tidak terkait di aplikasi PeduliLindungi. Ia mengatakan, sistem eHAC di aplikasi PeduliLindungi berbeda dengan yang ada di aplikasi eHAC versi lama.
Platform sertifikat elektronik lama itu pun dinonaktifkan oleh Kemenkes. "Jadi eHAC yang digunakan berada dalam aplikasi PeduliLindungi," katanya.
Kemenkes juga akan melibatkan Kementerian Komunikasi dan Informatika (Kominfo), serta Badan Siber Sandi Negara (BSSN) untuk menjaga kerahasiaan data PeduliLindungi. "Perlu saya sampaikan bahwa eHAC yang ada di Pedulilindungi, baik server dan infrastruktur berada di pusat data nasional,” katanya.