Ahli Siber Nilai Bocornya Data e-HAC Bisa Ancam Keselamatan Warga

01 Sep 2021, 15:27 WIB

Logo aplikasi Electronic Health Card Kementerian Kesehatan (Tangkapan layar Google Play)

Jakarta, IDN Times - Ahli keamanan siber Alfons Tanujaya meminta pemerintah tidak menganggap enteng insiden bocornya 1,3 juta data pengguna aplikasi Electronic Health Alert Card (e-HAC). Sebab, bila data tersebut jatuh ke tangan pihak yang memiliki niat jahat, maka mereka bisa mengubah data hasil tes COVID-19 yang diunggah di aplikasi tersebut.

"Misalnya pihak tertentu itu iseng dan mengubah hasil tes COVID-19, seharusnya ia dinyatakan positif COVID-19 tetapi karena datanya bocor lalu diubah dan dinyatakan negatif COVID-19. Kan, orang ini bisa tetap berkeliaran, matilah kita," ungkap Alfons ketika dihubungi oleh IDN Times melalui telepon pada Selasa malam, 31 Agustus 2021.

"Sebaliknya, kalau orang yang sebenarnya hasil tes COVID-19 negatif tetapi dinyatakan positif, maka dia kasihan. Aktivitasnya jadi terbatas dan gak bisa ke mana-mana," tuturnya.

Apa yang disampaikan oleh Alfons bukan sekadar isapan jempol belaka. Sebab, tim peneliti vpnMentor, Noam Rotem dan Ran Locar pada 15 Juli 2021 lalu melaporkan berbagai jenis data pengguna yang terekspos ke luar. Selain identitas pengguna, di dalam data yang bocor itu juga terdapat hasil tes COVID-19 dan lokasi tes tersebut dilakukan.

Ia juga mewanti-wanti pemerintah, meski publik tak lagi menggunakan aplikasi e-HAC lama dan beralih ke aplikasi yang baru, tak menutup fakta jutaan data telah bocor.

"Padahal, bila data di aplikasi e-HAC lama bocor ya tetap bocor tidak mengbah fakta bahwa ada kebocoran data. Yang jadi korban tetap si pemilik data," kata pendiri perusahaan teknologi dan informasi bernama Vaksincom itu.

Apa yang bisa dilakukan pemerintah agar peristiwa kebocoran data serupa tidak kembali terulang?

1. Kemenkes dinilai ceroboh pilih vendor yang simpan data pengguna e-HAC

Ilustrasi gedung Kementerian Kesehatan di Kuningan, Jakarta Selatan (www.kemkes.go.id)

Namun, Alfons terdengar sangat gemas ketika mengetahui kebocoran data kali ini. Sebab, vendor yang dipekerjakan Kementerian Kesehatan sangat ceroboh dengan menyimpan data pengguna aplikasi e-HAC di server internet. Konsekuensinya, bila server itu bisa diretas, maka secara otomatis peretas bisa memperoleh dengan mudah mengambil data pengguna aplikasi e-HAC.

"Ini membuktikan data itu tidak dilindungi dengan baik bahkan dienkripsi," kata Alfons.

Bahkan, data yang terekspos hingga ke akun admin pengelola e-HAC. Ia kemudian merinci kesalahan fatal lainnya yang dilakukan oleh vendor yang dipekerjakan oleh Kemenkes.

"Pertama, menaruh data pribadi di server hosting saja sudah salah. Itu tidak boleh. Tetapi, ini malah ditaruh di sana dan tidak diberi perlindungan maksimal. Kalaupun ditaruh di sana (server hosting) harus dienkripsi. Itulah sebabnya bobolnya data kali ini kami katakan sangat parah," tutur dia lagi.

Ia menambahkan bisa saja data pengguna eHAC yang sempat disimpan di server hosting itu sudah disalin pihak yang memiliki niat jahat. Ia mewanti-wanti besar kemungkinan 1,3 juta data itu sudah dicuri dan dijual di dark web seperti yang terjadi pada peristiwa data pengguna BPJS Kesehatan.

"Kami berharap masih belum ada yang menyalin data itu," kata dia.

2. Pemerintah wajib lindungi data publik di aplikasi PeduliLindungi

ANTARA/Arindra Meodia

Alfons mengingatkan meski saat ini data publik terintegrasi di aplikasi PeduliLindungi, bukan berarti ada jaminan data aman dari aksi peretasan. Kemenkes yang mengelola data tersebut wajib melindungi dan memiliki standar tertentu terhadap perlindungan data.

"Idealnya sebelum mereka diberikan pengelolaan data, institusi itu sudah melewati berbagai pelatihan dan ada sertifikasi," kata Alfons.

Ia menyarankan pemerintah lebih serius dan memberikan prioritas lebih banyak terkait pengelolaan data publik. Alfons pun sepakat bila Undang-Undang Perlindungan Data Pribadi (PDP) harus secepatnya disahkan. Sebab, UU itu bisa menjerat pejabat yang mengelola data meski mereka tidak terlibat secara langsung.

"Karena adanya UU itu, para pejabat tadi jadi aware adanya ancaman (pembobolan data) karena mereka pun juga bisa terancam masuk penjara meski tanggung jawab penuh berada di bagian teknologi informasi (TI)," tutur dia.

Salah satu prioritas itu bisa ditunjukkan dengan menambahkan anggaran untuk bisa melindungi data identitas pribadi publik. Sedangkan, saat ini karena belum dinilai sebagai prioritas, maka anggarannya pun minim.

3. Kebocoran data aplikasi eHAC Kemenkes sudah terjadi sejak Juli 2021, tapi lambat direspons

Tren kasus kebocoran data di Indonesia (IDN Times/Aditya Pratama)

Sementara, dalam jumpa pers yang digelar pada Selasa, 31 Agustus 2021, Kemenkes mengakui adanya dugaan kebocoran data pengguna aplikasi e-HAC versi lama. Kebocoran itu terjadi di pihak mitra yang sempat dipekerjakan oleh pemerintah. Meski, menurut Kemenkes, data di e-HAC yang sudah bocor itu tak lagi digunakan sejak 2 Juli 2021.

"Dugaan kebocoran data e-HAC yang lama diakibatkan kemungkinan kebocoran di pihak mitra, dan ini sudah diketahui oleh pemerintah," kata Kepala Pusat Data dan Informasi Kementerian Kesehatan, Anas Ma'ruf, secara virtual.

Anas mengatakan sistem e-HAC yang terdapat dalam aplikasi PeduliLindungi berbeda dengan sistem serta infrastuktur yang ada di aplikasi eHAC versi lama. Adapun, platform sertifikat elektronik lama ini telah dinonaktifkan Kemenkes.

"Jadi e-HAC yang digunakan berada dalam aplikasi PeduliLindungi," tutur dia lagi.

Namun, hal lain yang mengecewakan tim peneliti vpnMentor, Noam Rotem, dan Ran Locar telah melaporkan adanya potensi kebocoran data sejak 21 Juli 2021. Tetapi, ketika tim peneliti mengontak Kemenkes, laporan tersebut malah diabaikan.

Bahkan, tim peneliti kembali mengontak Kemenkes pada 26 Juli 2021 untuk memperingatkan adanya potensi kebocoran data. Tetap saja tak direspons.

"Akhirnya kami mengontak I-CERT, badan pemerintah yang bertanggung jawab menangani insiden keamanan siber di negara itu. Lalu, pada akhirnya kami juga mengontak Google, penyedia hosting bagi eHAC," kata salah satu tim peneliti di situs resmi mereka.

Tim peneliti juga mengontak Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021 lalu. Tindakan nyata baru diambil pada 24 Agustus 2021.