SuaraSulsel.id - Badan Siber dan Sandi Negara atau BSSN mengungkapkan kronologis mengenai informasi kebocoran data milik Kementerian Kesehatan yang dipublikasikan melalui situs https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/.
Adapun kronologinya menurut Juru Bicara BSSN Anton Setiyawan sebagai berikut:
1. VPN Mentor pihak yang mempublikasi informasi tersebut pada awalnya mengirimkan informasi ke CERT.ID pada tanggal 22 Juli 2021 mengenai kerentanan aplikasi eHAC milik Kementerian Kesehatan, namun tidak mendapatkan tanggapan dari pihak CERT.ID
2. Kemudian VPN mentor menyampaikan email ke IdSIRTII dan [email protected], pada tanggal 23 Agustus 2021 pukul 06.00 WIB dan direspon oleh rekan-rekan Tim Tanggap Insiden BSSN pada tanggal 23 Agustus 2021 pukul 08.39 WIB setelah memverifikasi informasi tersebut.
Baca Juga:Ramai Data Pengguna eHAC Bocor, Kemenkes Duga Hal Ini Jadi Penyebabnya
3. Selanjutnya Tim BSSN pada hari tersebut langsung berkoordinasi dengan pihak Kementerian Kesehatan mengenai hal ini.
4. Tim memverifikasi kembali dan menyampaikan bahwa aset ini terkait dengan Kementerian Kesehatan dan mengkonfirmasi kembali ke pihak Kementerian Kesehatan pada tanggal 24 Agustus 2021 melalui notifikasi laporan dengan Nomor 021/TI/SDE.824.1/N/2021.
5. Tim Kementerian Kesehatan menindaklanjuti dengan menutup kerentanan tersebut pada tanggal 25 Agustus 2021, Tim BSSN mengkonfirmasi hal ini kepada pihak Kementerian Kesehatan pada pukul 15.31 WIB.
"Demikian disampaikan, terima kasih," ungkap Anton Setiyawan kepada SuaraSulsel.id, Selasa 31 Agustus 2021.
Sebelumnya, kabar mengejutkan datang dari peneliti perusahaan keamanan siber vpnMentor. Mereka berhasil membobol aplikasi eHac milik Kementerian Kesehatan RI dengan mudah.
Baca Juga:Kebocoran Data Terus Berulang, Komisi I Ingatkan Potensi Kerugian Ekonomi
Peneliti bisa mengakses data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 di Tanah Air tersebut. Termasuk data sejumlah pejabat.
Mengutip Suara.com, dalam laporannya, vpnMentor mengatakan orang yang membuat eHAC telah menggunakan "database Elastisearch yang tidak aman untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC."
Selain data-data pribadi pengguna, yang juga tak terlindungi dari aplikasi eHAC adalah informasi tentang rumah-rumah sakit dan para pejabat Indonesia yang menggunakan aplikasi tersebut.
Adapun data-data yang terekspos adalah: nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.
"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," ungkap para peneliti.
Peneliti dari vpnMentor mengatakan dengan data-data dari eHAC, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.
