1,3 Juta Data e-HAC Bocor, Ini Dampaknya bagi Pengguna

31 Agu 2021, 14:58 WIB

Ilustrasi Hacker (IDN Times/Arief Rahmat)

Jakarta, IDN Times – Situs pengawas internet vpnMentor mengungkap kebocoran 1,3 juta data pengguna e-HAC. Ada beragam bentuk kebocorannya, mulai dari data pribadi pengguna aplikasi dan staf e-HAC, data rumah sakit beserta para tenaga kesehatannya, hasil tes COVID-19, hingga data vaksinasi.

Adapun e-HAC singkatan dari Electronic Health Alert Card, yaitu aplikasi yang wajib diunduh oleh para pelaku perjalanan yang melakukan mobilitas di tengah pandemik COVID-19. Aplikasi itu memuat informasi pribadi (seperti email, nomor kependudukan, alamat rumah, nomor ponsel), hasil tes COVID-19, dan masih banyak lagi.

“Tim kami menemukan e-HAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. Setiap kali kami menemukan pelanggaran data, kami menggunakan teknik ahli untuk memverifikasi pemilik basis data,” kata vpnMentor dalam laporannya yang diunggah pada laman vpnmentor.com.

“Pengembang e-HAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan, dari sekitar 1,3 juta pengguna e-HAC. Kebocoran data ini mengekspos seluruh infrastruktur di sekitar e-HAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” tambahya.

1. Kebocoran data sudah dilaporkan ke Kemenkes sejak Juli

Mengisi e-HAC Indonesia, di aplikasi PeduliLindungi IDN Times/Ahmad Viqi Wahyu Rizki

Pada awalnya, vpnMentor memperoleh database yang dimaksud pada 15 Juli 2021. Prosedur vpnMentor mengharuskan mereka menghubungi instansi terkait ketika mendapati kebocoran atau pelanggaran data di internet. Hal itu merupakan bentuk verifikasi vpnMentor, sebab tidak sedikit pihak yang menyanggah temuan mereka.

Setelah melakukan investigasi mendalam, vpnMentor akhirnya menghubungi Kementerian Kesehatan (Kemenkes) Indonesia untuk mempresentasikan temuannya. Namun, setelah beberapa hari, vpnMentor tidak mendapat tanggapan dari Kemenkes.

Mereka kemudian menghubungi CERT* Indonesia dan Google, sebagai penyedia hosting e-HAC. Sayangnya hingga awal Agustus, vpnMentor juga tidak menerima jawaban dari pihak terkait.

Selanjutnya, mereka menghubungi Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus dan mereka mendapat jawaban pada hari yang sama. Pada 24 Agustus, akhirnya server e-HAC dimatikan.

2. Apa dampaknya ketika jutaan data bocor?

Ilustrasi Hacker (IDN Times/Mardya Shakti)

Dampak utama kebocoran data ini adalah pengguna e-HAC rentan menjadi korban serangan siber dan penipuan. Dengan berbagai informasi pribadi, ulas vpnMentor, penipu sangat mungkin menggunakan data yang bocor demi keuntungan pribadi.

“Data pribadi yang bocor bisa digunakan untuk mengakses akun pribadi, seperti catatan pajak, kartu kredit, dan rekening bank. Selain itu, mereka juga rentan menjadi korban phishing melalui email, sms, atau panggilan telepon. Peretas bisa berpura-pura menjadi pejabat atau pebisnis yang meyakinkan untuk menipu,” terang vpnMentor.

Dampak lain yang dirasakan adalah terhambatnya penanganan pandemik COVID-19. Sebab, peretas bisa memanipulasi data vaksinasi hingga data COVID-19. Sehingga, bukan tidak mungkin peretas memanfaatkan hal itu untuk menggemakan beragam misinformasi dan hoaks seputar virus corona.

“Penjahat pasti mengeksploitasi kebocoran untuk keuntungan mereka, membuat ketakutan, menciptakan ketidakbenaran. Akibatnya, semakin banyak penderitaan dan potensi hilangnya nyawa masyarakat Indonesia,” tambahnya.

3. Apa yang harus dilakukan jika data sudah terlanjur bocor?

Ilustrasi layanan kesehatan. (IDN Times/Arief Rahmat)

Kepada pengembang, vpnMentor memberikan beberapa saran, yaitu:

Mengamankan server.
Menerapkan aturan akses yang ketat.
Jangan pernah meninggalkan sistem yang tidak memerlukan otentikasi terbuka ke internet.

Adapun para pengguna e-HAC disarankan untuk menghubungi Kemenkes untuk menentukan langkah apa yang akan diambil demi melindungi data pribadi.

Pada saat yang sama, vpnMentor juga memperingatkan rumah sakit agar segera mengambil tindakan. Sebab, data mereka adalah data yang paling rentan dieksploitasi dan paling berpotensi menimbulkan kerugian, baik kepada individu atau terhadap penanganan pandemik.