.webp)
Para periset di vpnMentor mengaku mengungkap kebocoran data yang terjadi di aplikasi test dan pelacakan COVID-19 yang dibuat Indonesia, yaitu eHAC. Seperti apa kronologinya dan data apa saja yang diangkut?
"Pemerintah Indonesia memperkenalkan electronic Health Alert Card (eHAC) untuk membantu menangkal penyebaran COVID-19 di negara itu. Aplikasi ini diwajibkan bagi traveler yang memasuki Indonesia dari luar negeri, baik WNI maupun warga asing. Juga disyaratkan untuk penerbangan domestik," tulis vpnMentor di blognya yang dikutip detikINET, Selasa (31/8/2021).
eHAC ini di-download ke ponsel pengguna dan menyimpan status kesehatan terkini serta informasi lain. Tim dari vpnMentor mendeteksi kebocoran itu pada 15 Juli 2021 dan yakin datanya asli. Kemudian mereka menghubungi Kementerian Kesehatan Indonesia pada 21 Juli. Data itu mudah dimasuki karena tidak dienskripsi ataupun diamankan dengan semestinya.
SCROLL TO CONTINUE WITH CONTENT
Mereka juga menghubungi Indonesia Computer Emergency Response Team pada 22 Juli, IDSIRTII pada 16 Agustus dan BSSN di 22 Agustus. Pada 25 Juli, Google selaku penyedia hosting dikontak. Kemenkes disebut tidak menanggapi sehingga dikontak lagi 26 Juli. Sedangkan BSSN langsung membalas pemberitahuan dari VPNMentor dan menutup database pada 24 Agustus 2021 silam.
"Pada awal Agustus, kami tidak menerima balasan (apapun). Kami mencoba menghubungi lembaga pemerintah lainnya, salah satunya BSSN (Badan Siber dan Sandi Negara). Kami menghubungi di 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian di 24 Agustus, servernya ditutup," sebut vpnMentor.
Adapun informasi pengguna yang bocor di eHAC ada beragam dan bisa dikatakan sangat lengkap. Ini daftarnya menurut vpnMentor:
- Kartu identitas traveler
- Identitas rumah sakit
- Nomor antrean
- Nomor referensi
- Alamat
- Tipe tes Corona (PCR, rapid antigen, lainnya), tanggal dan lokasi
- Hasil tes Corona dan tanggal dikeluarkan
- Identitas dokumen eHAC
Tak hanya itu, data dari 226 rumah sakit dan klinik di Indonesia juga disebut terekspos seperti detail rumah sakit termasuk nama, lisensi, alamat, nomor telepon, kapasitas rumah sakit, tes Corona yang tersedia, jumlah tes per hari sampai jam buka. Dokter yang menangani penumpang pun terbuka namanya.
Identitas pengguna pun terbuka lebar termasuk antara lain:
- Detail penumpang (nomor ID, nama lengkap, nomor telepon, pekerjaan, gender, dan lainnya)
- Nomor KTP
- Paspor dan foto profil di akun eHAC
- Detail hotel penumpang
- Detail tentang akun eHAC penumpang dan kapan dibuat
Bahkan data dari staff yang menangani pembuatan eHAC pun ada. "Kebocoran data ini punya implikasi luas untuk eHAC dan usaha pemerintah Indonesia untuk mengendalikan COVID-19. Jika data ini ditemukan oleh hacker kriminal, dampaknya bisa merusak pada individu dan masyarakat," sebut vpnMentor.
(fyk/fay)
