Photo by Soumil Kumar from Pexels

Mengupas Proses Dugaan Kebocoran Data eHAC Indonesia

Beberapa hari ini santer terdengar terjadi kebocoran data (data leak) pada salah aplikasi eHAC. Electronic Health Card atau disingkat eHAC merupakan aplikasi wajib yang dipasang pada perangkat smartphone yang berfungsi untuk melakukan verifikasi penumpang pada perjalanan udara dan darat. Pemerintah mewajibkan para penumpang untuk melakukan pemasangan aplikasi pada masing-masing smartphone dan mengisi data sebagai langkah untuk keperluan tracing beserta pengendalian Covid-19 di Indonesia.

Kebocoran data eHAC terdeteksi oleh tim peneliti VPNmentor pada 15 Juli 2021. Dikutip dari website resmi vpnmentor, tim ini dipimpin oleh Noah Rotem dan Ran Locar. Mereka menemukan bahwa diperkirakan kurang lebih 1,4 juta data bocor dari aplikasi eHAC. Data ini terdiri dari warga negara Indonesia dan juga warga negara asing yang telah menggunakan aplikasi eHAC.

Timeline Kasus Kebocoran Data eHAC

  • 15 Juli 2021: Tim vpnmentor mendeteksi adanya kebocoran data pada aplikasi eHAC
  • 21 Juli 2021: Tim peneliti melaporkan dengan mengontak kementerian Kesehatan
  • 22 Juli 2021: Menghubungi tim CERT (Computer Emergency Response Team) Indonesia
  • 25 Juli 2021: Menghubungi Google sebagai hosting provider dari eHAC
  • 26 Juli 2021: Mengontak untuk kedua kalinya pada Kemenkes
  • 16 Agustus 2021: Menghubungi Id-SIRTII/CC (Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center)
  • 22 Agustus 2021: Menghubungi BSSN (Badan Siber dan Sandi Negara)
  • 22 Agustus 2021: Laporan direspon oleh BSSN

Seperti yang Anda lihat pada daftar timeline di atas bahwa tim peneliti vpnmentor sudah menghubungi pihak Kemenkes sebanyak dua kali tetapi belum ditanggapi. Kecuali pada hari rabu 22 Agustus  vpnmentor kemudian direspon oleh BSSN (Badan Siber dan Sandi Negara).

Hal ini menjadi salah satu catatan yang harus diperhatikan ke depannya terutama untuk tim CERT dan Id-SIRTII dalam mendapatkan laporan kebocoran data di Indonesia, karena mereka salah satu badan yang bisa respon cepat dalam menanggapi kejadian seperti ini.

Lalu bagaimana vpnmentor bisa mendapatkan informasi kebocoran data? Tim yang dipimpin oleh Noah Rotem dan Ran Locar melakukan proses scanning atau pencarian terhadap semua server dan mencari database yang terbuka secara publik di internet sebagai salah satu proses pencegahan kebocoran data terhadap aplikasi berbasis web dan mobile di seluruh dunia.

Tim vpnmentor dengan sangat mudah mendapat cara akses data eHAC disebabkan oleh lemahnya protokol keamanan dari developer pembuat aplikasi. Data eHAC disimpan menggunakan “elastic search” yang diperkirakan berjumlah lebih dari 1,4 juta dengan estimasi 1,3 juta merupakan data personal dari eHAC. Selain data pengguna, terdapat juga data yang berkaitan dengan rumah sakit.

Detail data yang bocor pada eHAC  

Bentuk detail data yang bocor dikutip dari laporan vpnmentor terdiri dari data Covid-19  yaitu ID dari tiap penumpang baik secara domestik dan internasional. ID setiap rumah sakit, alamat, bentuk test( PCR, rapid dll),hasil test, dan ID dokumen eHAC.

Kemudian untuk data personal terdiri dari informasi rumah sakit, informasi pengguna dimulai dari nama, sampai nomor KTP, data hotel tempat menginap, data passport beserta foto. Selain itu juga data para staf eHAC juga ikut terekspos mulai dari data nama sampai alamat email yang digunakan. Anda bisa membaca laporan lengkap dari vpnmentor melalui link ini.

Respon Kemenkes

Dikutip dari Tempo, Kemenkes menyebutkan bahwa data yang bocor adalah aplikasi eHAC yang lama dan sudah dinonaktifkan sejak 2 Juli 2021. Selain itu, dugaan lain data bocor berasal dari pihak ketiga dan audit digital forensik saat ini sedang dilakukan. Saat ini data eHAC terbaru sudah terintegrasi dengan aplikasi tracing covid Peduli Lindungi yang sudah ada pada Pusat Data Nasional.

Dampak dari kebocoran data

Data personal yang bocor seperti pada kasus eHAC dapat berdampak serius jika tidak segera ditanggapi. Banyaknya data personal seperti nama lengkap, nomor ktp, alamat email, foto, password dan lainnya bisa berakibat fatal terutama pada penggandaan data, penipuan scamming, dan bisa merambat pada informasi finansial misalnya perbankan.

Salah satu praktik buruk yang masih dilakukan banyak orang saat ini misalnya menggunakan satu password untuk semua akun layanan digital misalnya email, password sosial media, sampai internet banking. Hal ini sebenarnya tidak disarankan. Bisa dibayangkan jika Anda adalah termasuk korban dari bocornya data eHAC sebelumnya mulai dari informasi pribadi bisa didapatkan oleh pelaku kejahatan. Anda bisa mencari data pribadi menggunakan teknik OSINT

Penutup

Bocornya data eHAC saat ini menambah daftar panjang dari kasus kebocoran data di Indonesia. Dimulai dari beberapa tahun sebelumnya salah satu e-commerce terbesar di Indonesia mengalami kebocoran data. Hal ini bisa berdampak serius jika tidak segera ditindak. Mulai saat ini para pengembang dan instansi pemerintah harus sudah mulai berbenah terhadap infrastruktur layanan digital yang ada, karena yang menjadi korban adalah para masyarakat. Untuk kebocoran data eHAC saat ini masih sementara dilakukan audit digital forensik. Kita tunggu hasilnya ya beberapa waktu ke depan 😊


Comments

Leave a Reply

Your email address will not be published. Required fields are marked *