SuaraSulsel.id - Badan Siber dan Sandi Negara atau BSSN mengungkapkan kronologis mengenai informasi kebocoran data milik Kementerian Kesehatan yang dipublikasikan melalui situs https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/.
Adapun kronologinya menurut Juru Bicara BSSN Anton Setiyawan sebagai berikut:
1. VPN Mentor pihak yang mempublikasi informasi tersebut pada awalnya mengirimkan informasi ke CERT.ID pada tanggal 22 Juli 2021 mengenai kerentanan aplikasi eHAC milik Kementerian Kesehatan, namun tidak mendapatkan tanggapan dari pihak CERT.ID
2. Kemudian VPN mentor menyampaikan email ke IdSIRTII dan [email protected], pada tanggal 23 Agustus 2021 pukul 06.00 WIB dan direspon oleh rekan-rekan Tim Tanggap Insiden BSSN pada tanggal 23 Agustus 2021 pukul 08.39 WIB setelah memverifikasi informasi tersebut.
Baca Juga:Ramai Data Pengguna eHAC Bocor, Kemenkes Duga Hal Ini Jadi Penyebabnya
3. Selanjutnya Tim BSSN pada hari tersebut langsung berkoordinasi dengan pihak Kementerian Kesehatan mengenai hal ini.
4. Tim memverifikasi kembali dan menyampaikan bahwa aset ini terkait dengan Kementerian Kesehatan dan mengkonfirmasi kembali ke pihak Kementerian Kesehatan pada tanggal 24 Agustus 2021 melalui notifikasi laporan dengan Nomor 021/TI/SDE.824.1/N/2021.
5. Tim Kementerian Kesehatan menindaklanjuti dengan menutup kerentanan tersebut pada tanggal 25 Agustus 2021, Tim BSSN mengkonfirmasi hal ini kepada pihak Kementerian Kesehatan pada pukul 15.31 WIB.
"Demikian disampaikan, terima kasih," ungkap Anton Setiyawan kepada SuaraSulsel.id, Selasa 31 Agustus 2021.
Sebelumnya, kabar mengejutkan datang dari peneliti perusahaan keamanan siber vpnMentor. Mereka berhasil membobol aplikasi eHac milik Kementerian Kesehatan RI dengan mudah.
Baca Juga:Kebocoran Data Terus Berulang, Komisi I Ingatkan Potensi Kerugian Ekonomi
Peneliti bisa mengakses data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 di Tanah Air tersebut. Termasuk data sejumlah pejabat.
Mengutip Suara.com, dalam laporannya, vpnMentor mengatakan orang yang membuat eHAC telah menggunakan "database Elastisearch yang tidak aman untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC."
Selain data-data pribadi pengguna, yang juga tak terlindungi dari aplikasi eHAC adalah informasi tentang rumah-rumah sakit dan para pejabat Indonesia yang menggunakan aplikasi tersebut.
Adapun data-data yang terekspos adalah: nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.
"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," ungkap para peneliti.
Peneliti dari vpnMentor mengatakan dengan data-data dari eHAC, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.
Peretas, misalnya, bisa berpura-pura menjadi dokter dan memilih korbannya dari 1,3 juta pengguna yang data pribadinya terekspos di server eHAC.
Selain itu pertas juga bisa mengubah data di platform eHAC, semisal hasil tes Covid-19 pengguna, sehingga membuat penanganan Covid-19 di Indonesia menjadi terganggu.
Klarifikasi Kementerian Kesehatan
Kepala Pusat Data dan Informasi Kementerian Kesehatan RI Anas Ma'ruf mengemukakan dugaan kebocoran data pengguna terjadi pada aplikasi Electronic Health Alert Card atau eHAC yang sudah tidak digunakan lagi sejak 2 Juli 2021.
"Terkait berita kebocoran data melalui aplikasi elektronik eHAC, kebocoran data terjadi di eHAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021," kata Anas Ma'ruf dalam konferensi pers secara virtual melalui kanal YouTube Kemenkes RI yang dipantau dari Jakarta, Selasa siang.
Anas mengatakan keputusan pemerintah tidak menggunakan lagi eHAC sebagai aplikasi perlindungan bagi pelaku perjalanan udara dari risiko penularan COVID-19 dikarenakan adanya integrasi data dengan aplikasi PeduliLindungi yang dikelola Kementerian Komunikasi dan Informatika (Kemkominfo).
Ketentuan itu berdasarkan Surat Edaran Kemenkes No HK.02.01/Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi pengguna transportasi udara yang terintegrasi dengan PeduliLindungi.
Anas memastikan sistem yang ada di dalam aplikasi PeduliLindungi berbeda dengan yang dimiliki eHAC. "Secara infrastruktur juga berbeda karena berada di tempat lain," katanya.
Dugaan kebocoran tersebut, kata Anas, tidak terkait dengan aplikasi PeduliLindungi. "Saat ini sedang dilakukan investigasi dan penelusuran lebih lanjut terkait informasi dugaan kebocoran ini," katanya.
Anas mengatakan dugaan kebocoran data di eHAC diakibatkan kemungkinan adanya kebocoran di pihak mitra. Pemerintah sudah mengetahui hal itu dan sedang melakukan tindakan pencegahan serta penelusuran lebih lanjut bersama pihak terkait.
"Sebagai langkah mitigasi, maka eHAC yang lama sudah dinonaktifkan. Yang digunakan adalah aplikasi yang berada di dalam aplikasi PeduliLindungi," katanya.
Anas menjamin data pengguna aplikasi PeduliLindungi lebih aman sebab infrastruktur berupa server berada di Pusat Data Nasional yang dijamin keamanannya oleh kementerian dan lembaga terkait.
"Terjamin keamanannya dengan didukung kementerian/lembaga terkait baik itu Kemkominfo maupun Badan Siber dan Sandi Negara (BSSN)," katanya.
Anas menambahkan seluruh sistem informasi yang terkait pengendalian COVID-19 telah dipindahkan menuju Pusat Data Nasional.
Anas meminta seluruh masyarakat untuk mengunduh aplikasi PeduliLindungi dan memanfaatkan fitur perjalanan sebagai bagian yang terintegrasi dalam aplikasi tersebut.
"Pemerintah juga meminta kepada masyarakat untuk menghapus aplikasi eHAC yang lama," katanya.