vpnMentor: Data Pengguna Aplikasi eHAC Bocor

Di penghujung bulan kemerdekaan ini, tersiar kabar adanya dugaan kebocoran data pengguna aplikasi eHAC milik Kementerian Kesehatan Republik Indonesia.

Adalah tim peneliti vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar yang menyampaikan laporan mengenai kebocoran data pengguna aplikasi eHAC milik Kementerian Kesehatan Republik Indonesia.

Laporan tersebut dimuat dalam laman vpnMentor.com dengan judul Report: Indonesian Government’s Covid-19 App Accidentally Exposes Over 1 Million People in Massive Data Leak yang dipublikasikan pada tanggal 30 Agustus 2021.

Aplikasi eHAC (Electronic - Health Alert Card atau Kartu Kewaspadaan Kesehatan) dibuat oleh Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan dan Pengendalian Penyakit, Kementerian Kesehatan Republik Indonesia.

Aplikasi eHAC digunakan untuk me-monitoring para pelaku perjalanan yang masuk ke Indonesia dari luar negeri, baik warga negara Indonesia maupun orang asing. Aplikasi ini juga diperlukan untuk penerbangan domestik di wilayah Indonesia.

Dalam laporan tersebut, tim peneliti vpnMentor menyebut bahwa pengembang aplikasi eHAC gagal mengimplementasikan protokol privasi data yang memadai sehingga menyebabkan data lebih dari 1 juta pengguna aplikasi eHAC terekspos.

Kronologi Kebocoran Data Pengguna Aplikasi eHAC

Mereka, tim peneliti vpnMentor, menjelaskan bahwa mereka telah menemukan adanya kebocoran data pengguna aplikasi eHAC sejak 15 Juli 2021 yang lalu. Mereka melaporkan temuan tersebut ke Kementerian Kesehatan sebanyak dua kali, yaitu pada tanggal 21 Juli 2021 dan 26 Juli 2021. Namun, mereka tidak mendapat respon atas dua laporan yang mereka buat tersebut.

Mereka kemudian melaporkan temuan mereka ke Indonesia Computer Emergency Response Team (CERT) pada tanggal 22 Juli 2021 dan Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) pada tanggal 16 Agustus 2021. Namun, hasilnya sama. Tidak ada tanggapan.

Pada tanggal 25 Juli 2021, mereka juga mengontak Google yang merupakan penyedia hosting aplikasi eHAC.

Mereka baru mendapat tanggapan setelah mereka melaporkan temuan mereka ke BSSN (Badan Siber dan Sandi Negara) pada tanggal 22 Agustus 2021. Kemudian pada tanggal 24 Agustus 2021, server aplikasi eHAC dimatikan.

Ringkasan Kebocoran Data Pengguna Aplikasi eHAC

Melansir laporan tim peneliti vpnMentor, berikut ini ringkasan kebocoran data pengguna aplikasi eHAC.

• Responsible Party: Ministry of Health (Kemenkes), Republic of Indonesia
• Headquarters: Jakarta, Indonesia
• Industry: Public Health
• Size of data in gigabytes: 2 GB
• Suspected number of records: 1.4m+
• Number of people exposed: Approx. 1.3 m
• Geographical scope: Indonesia
• Types of data exposed: PII data; travel information; medical records; COVID-19 status
• Potential impact: Fraud; Hacking; Disinformation
• Data storage format: Elasticsearch

Laporan detail kebocoran data pengguna aplikasi eHAC oleh tim peneliti vpnMentor dapat anda baca melalui pranala https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/.

Respon Kementerian Kesehatan

Dalam rilis yang unggah di laman sehatnegeriku.kemkes.go.id pada tanggal 1 September 2021, Kepala Pusat Data dan Informasi Kementerian Kesehatan, dr. Anas Maruf, memastikan bahwa data pengguna yang ada dalam sistem aplikasi eHAC tidak bocor dan dalam perlindungan.

“Data masyarakat yang ada di dalam eHAC tidak mengalir ke platform mitra (pihak ketiga), sedangkan data masyarakat yang ada pada platform mitra adalah menjadi tanggung jawab penyelenggara sistem elektronik sesuai dengan amanah Undang-Undang Nomor 19 Tahun 2016 tentang Informasi dan Transaksi Elektronik atau Undang-Undang ITE dan juga sesuai dengan Peraturan Pemerintah Nomor 71 tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,” kata dr. Anas Maruf.

Sementara itu, juru bicara BSSN, Anton Setiawan, menyebut bahwa laporan kebocoran data pengguna aplikasi eHAC yang dilaporkan oleh vpnMentor merupakan threat information sharing.

“Ini adalah bagian dari proses, kalau di keamanan siber kita mengenalnya sebagai threat information sharing, di mana pihak-pihak yang mempunyai konsen terhadap keamanan siber saling bertukar informasi,” kata Anton Setiawan.

Penjelasan Kementerian Kesehatan terkait kebocoran data pengguna aplikasi eHAC dapat anda baca melalui pranala https://sehatnegeriku.kemkes.go.id/baca/rilis-media/20210901/2538410/data-pengguna-e-hac-tidak-bocor/