Data Pengguna e-HAC Bocor, Politikus PKS: Pemerintah Teledor

31 Agu 2021, 13:11 WIB

Aplikasi Electronic Health Alert Card (eHAC) yang bisa diunggah dari Google Play (Tangkapan layar Google Play)

Jakarta, IDN Times - Peristiwa kebocoran data di Indonesia seolah tidak ada habisnya. Kali ini dugaan kebocoran data terjadi pada pengguna aplikasi Electronic Health Alert Card (e-HAC).

Tim peneliti vpnMentor, Noam Rotem, dan Ran Locar pada 15 Juli 2021 lalu menemukan adanya dugaan kebocoran data 1,3 juta pengguna aplikasi tes dan telusur COVID-19 tersebut. Di dalam situs resminya, tim peneliti menyadari pengembang e-HAC menggunakan pangkalan data yang tidak aman bernama Elasticsearch.

Pengembang menyimpan lebih dari 1,4 juta data. Sebanyak 1,3 juta data di antaranya merupakan pengguna aplikasi e-HAC.

"Data yang terbuka ke publik tidak hanya menunjukkan identitas pengguna tetapi juga mengekspos seluruh infrastruktur di sekitar e-HAC, termasuk data catatan pribadi dari rumah sakit dan sejumlah pejabat yang menggunakan aplikasi itu," demikian ditulis oleh tim peneliti melalui situs resmi mereka, seperti dikutip Selasa (31/8/2021).

Peneliti juga menyebut, ada sejumlah data pribadi yang berhasil terekspos ke luar. Data-data tersebut yakni:

data penumpang dan jenis pesawat yang ditumpangi (apakah pelaku perjalanan internasional atau domestik)
identitas rumah sakit (tempat dilakukan tes COVID-19)
nomor antrean ketika melakukan tes
nomor rujukan
alamat pengguna aplikasi dan waktu kunjungan melakukan tes di rumah
jenis tes COVID-19 yang dilakukan (swab PCR, antigen), keterangan waktu dan lokasi dilakukannya tes
hasil tes COVID-19 dan kapan hasil tes dikeluarkan
identitas dokumen e-HAC

Menurut laporan, aplikasi e-HAC atau Kartu Kewaspadaan Kesehatan dikembangkan oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan, dan Pengendalian Penyakit Kemenkes. Baik orang asing maupun warga Indonesia wajib mengunduh aplikasi tersebut. Kewajiban serupa juga berlaku bagi warga yang ingin melakukan perjalanan di dalam negeri.

Rotem dan Locar mengatakan, upaya yang dilakukan oleh timnya itu adalah bagian dari usaha untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.

"Tim kami menemukan catatan e-HAC memiliki kekurangan protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," tutur salah satu tim peneliti vpnMentor.

Lalu, apa respons anggota Komisi I terhadap temuan ini?

1. Politikus PKS geram dan menyebut kebocoran data yang berulang merupakan peristiwa konyol

Default Image IDN

Dalam pandangan anggota Komisi I DPR, Sukamta, peristiwa kebocoran data yang berulang kali ini merupakan sebuah kekonyolan. Ia pun mengaku kehabisan kata-kata dalam menanggapi keteledoran pemerintah menyangkut perlindungan data pribadi.

Sebelumnya, juga sempat terjadi kebocoran 279 juta data peserta BPJS. Tindak lanjutnya pun hingga kini belum jelas.

"Baru Senin kemarin kami rapat dengan Kominfo. Kami ingatkan soal keamanan data pribadi warga dalam aplikasi PeduliLindungi. Pak Menteri dengan semangat meyakinkan soal pengelolaan keamanan data yang hebat dan dijamin tidak bocor, termasuk dalam eHac. Kenyataannya bobol lagi, ini kan sangat konyol," kata politikus dari Partai Keadilan Sejahtera (PKS) itu dalam keterangan tertulis pada hari ini.

Ia mengatakan, bila peristiwa ini terus dibiarkan maka ujung-ujungnya warga yang akan dirugikan. Pemerintah, kata dia, harus bertanggung jawab penuh dengan data pribadi masyarakat yang dikumpulkan dan dikelola. Menurutnya, harus ada sistem yang disiapkan secara matang.

"Ini bisa mengakibatkan kerugian ekonomi tetapi bisa jadi berefek pada keamanan. Maraknya kasus penipuan online, saya yakin terkait dengan bocornya data pribadi masyarakat. Artinya, keamanan data pribadi yang kuat akan menutup banyak celah kejahatan siber," tutur dia lagi.

2. Kemenkes lambat merespons temuan adanya dugaan kebocoran data pengguna e-HAC

Gedung Kementerian Kesehatan RI (Website/padk.kemkes.go.id/)

Tim peneliti vpnMentor, Noam Rotem dan Ran Locar, di dalam situs resminya mengatakan, sudah menghubungi Kemenkes pada 21 Juli 2021 untuk menunjukkan temuan mereka. Sayang, Kemenkes justru tidak merespons.

"Akhirnya kami mengontak badan I-CERT, badan pemerintah yang bertanggung jawab menangani insiden keamanan siber di negara itu. Lalu, pada akhirnya kami juga mengontak Google, penyedia hosting bagi e-HAC," kata salah satu tim peneliti.

Hal itu turut disayangkan oleh Sukamta karena tidak segera ditindak lanjuti oleh Kemenkes. Ia kemudian meminta pemerintah untuk melakukan proses audit terhadap semua sistem penyimpanan data serta mendorong kerjas ama terpadu antar pengelola data maupun ahli TI. Harapannya, agar peristiwa kebocoran data tidak terus berulang dan merugikan masyarakat.

"Jangan sampai ada pembiaran soal keamanan data. Kominfo dan BSSN (Badan Sandi dan Siber Negara) harus proaktif melakukan audit sistem keamanan data secara berkala. Di Indonesia ada banyak ahli TI yang mestinya bisa dilibatkan untuk memperkuat pengamanan data," tutur Sukamta.

3. Sukamta desak agar RUU Perlindungan Data Pribadi segera disahkan

Ilustrasi Gedung DPR di Senayan, Jakarta Pusat (IDN Times/Kevin Handoko)

Sukamta pun kembali mengingatkan agar pemerintah bekerja sama dengan DPR segera mengesahkan RUU Perlindungan Data Pribadi (PDP). Menurutnya, semakin lama ditunda malah semakin berbahaya.

"Mau ditunda sampai kapan lagi? Ini semakin semrawut pengelolaan keamanan data digital kita. Perlu ada regulasi yang kuat untuk mendorong terbentuknya ekosistem keamanan digital," ujar Sukamta.

Sementara, anggota Komisi I DPR dari Fraksi Partai Nasional Demokrat, Muhammad Farhan, pernah mengatakan penyebab RUU itu tak kunjung disahkan, karena adanya perbedaan pendapat mengenai otoritas perlindungan data (OPD). Ia mengatakan, masih ada perdebatan di antara pemerintah dan anggota DPR.

"Teman-teman di DPR menginginkan agar OPD dipegang oleh lembaga independen. Tetapi, pemerintah sampai Presiden Jokowi sudah memiliki sikap yang firm bahwa pemerintah ingin menempatkan OPD di bawah Kemkominfo. Secara teknis OPD akan dijalankan oleh Dirjen Aptika," kata Farhan ketika dihubungi oleh IDN Times 28 Mei 2021 lalu.

Ia tak membantah Kementerian Komunikasi dan Informatika (Kominfo) juga melakukan pengumpulan data. Tetapi, instansi itu tetap harus bertanggung jawab kepada presiden dan DPR.