Kronologi Dugaan Kebocoran Data e-HAC Kemenkes Sejak Juli 2021

31 Agu 2021, 22:18 WIB

Aplikasi Electronic Health Alert Card (eHAC) yang bisa diunggah dari Google Play (Tangkapan layar Google Play)

Jakarta, IDN Times - Data di aplikasi Electronic Health Alert Card (e-HAC) milik Kementerian Kesehatan (Kemenkes) diduga bocor. Dugaan kebocoran data ini pertama kali diungkap situs pengawas internet vpnMentor.

Aplikasi e-HAC merupakan aplikasi yang wajib diunduh para pelaku perjalanan yang melakukan mobilitas di tengah pandemik COVID-19. e-HAC memuat informasi pribadi seperti email, nomor kependudukan, alamat rumah, nomor ponsel, hingga hasil tes COVID-19.

Berdasarkan laporan vpnMentor, data e-HAC diduga bocor sejak Juli 2021. Ada beragam bentuk kebocorannya, mulai dari data pribadi pengguna aplikasi dan staf e-HAC, data rumah sakit beserta para tenaga kesehatannya, hasil tes COVID-19 hingga data vaksinasi.

Berikut kronologi dugaan data e-HAC bocor.

1. Diduga bocor sejak 15 Juli 2021

Awalnya, vpnMentor mendeteksi dugaan kebocoran data di e-HAC sejak 15 Juli 2021. Sistem keamanan e-HAC disebutnya rendah.

Dari kejadian ini, vpnMentor menyebut diduga sekitar 1,3 juta data pengguna e-HAC bocor.

"Tim kami menemukan e-HAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. Setiap kali kami menemukan pelanggaran data, kami menggunakan teknik ahli untuk memverifikasi pemilik basis data," kata vpnMentor dalam laporannya yang diunggah pada laman vpnmentor.com.

"Pengembang e-HAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan, dari sekitar 1,3 juta pengguna e-HAC. Kebocoran data ini mengekspos seluruh infrastruktur di sekitar e-HAC, termasuk catatan pribadi dari rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut," tambahnya.

2. Kemenkes tak menggubris temuan vpnMentor

Menteri Kesehatan Budi Gunadi Sadikin memberikan paparan saat menghadiri rapat kerja bersama Komisi IX DPR di Kompleks Parlemen, Senayan, Jakarta, Rabu (13/1/2021). Rapat tersebut membahas ketersediaan vaksin dan pelaksanaan vaksinasi COVID-19 (ANTARA FOTO/Rivan Awal Lingga)

vpnMentor mengaku sudah mencoba menghubungi Kemenkes terkait dugaan kebocoran data tersebut. Namun, mereka menyebut Kemenkes tak merespons soal temuan ini.

Mereka kemudian menghubungi CERT* Indonesia dan Google, sebagai penyedia hosting e-HAC. Sayangnya, hingga awal Agustus, vpnMentor juga tidak menerima jawaban dari pihak terkait.

Selanjutnya, vpnMentor menghubungi Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus dan mereka mendapat jawaban pada hari yang sama. Pada 24 Agustus, akhirnya server e-HAC dimatikan.

3. Kemenkes sebut kebocoran data di e-HAC yang lama

Kepala Pusat Data dan Informasi Kementerian Kesehatan, Anas Ma'ruf (YouTube/Kementerian Kesehatan RI)

Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf, angkat suara soal dugaan kebocoran data di aplikasi e-HAC. Menurutnya, memang ada kebocoran data, tapi itu aplikasi e-HAC yang lama.

"Kebocoran data terjadi di aplikasi Electronic Health Alert Card atau e-HAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021 tepatnya 2 Juli 2021," ujar Anas dalam konferensi pers daring, Selasa (31/8/2021).

Anas menegaskan e-HAC yang kini digunakan dipastikan aman karena sudah terintegrasi dengan aplikasi PeduliLindungi, dan dijaga keamanannya oleh kementerian/lembaga terkait, termasuk BSSN. Ia menegaskan dugaan kebocoran tidak terkait dengan aplikasi e-HAC yang ada di aplikasi PeduliLindungi yang kini digunakan pemerintah.

"Dan saat ini tengah diberlakukan investigasi dan juga peninjauan lebih lanjut terkait dengan informasi dugaan kebocoran ini," ujar Anas.

Kementerian Kesehatan juga menegaskan kasus ini masih disebut sebagai dugaan kebocoran data. Sebab, istilah kebocoran data baru akan diterapkan setelah adanya audit digital forensik.