JURNALSECURITY | Jakarta — Aplikasi eHAC atau Electronic Health Alert Card, yang dibuat oleh Kemenkes RI terbilang masih lemah. Pasalnya, data masyarakat Indonesia masih mengalami kebocoran .
Kabar bocornya data masyarakat itu, kali pertama disampaikan tim penelitian keamanan layanan vpnMentor melalu blog resmi mereka yang dipimpin oleh Noam Rotem dan Ran Locar.
Mereka mengklaim bahwa data penting dari pengguna aplikasi eHAC, telah bocor ke internet dengan jumlah mencapai lebih dari satu juta pengguna.
Investigasi mendalam pihak vpnMentor menyebut, kira-kira ada 1,3 juta data pengguna aplikasi eHAC yang bocor dengan ukuran data mencapai 2GB. Data yang bocor diklaim berisi banyak informasi penting, bukan cuma data kependudukan atau identitas, melainkan juga foto hingga dokumen passport dan alamat hotel menginap juga ikut bocor.
Dilaporkan liputan6.com, Pakar Keamanan Siber Alfons Tanujaya, mengatakan kebocoran data eHAC mencoreng nama Indonesia di mata dunia.
“Kebocoran data eHAC mencoreng nama Indonesia di mata dunia, karena eHAC diwajibkan untuk diinstal bagi orang asing yang masuk ke Indonesia,” tutur Alfons kepada
Menurut Alfons, dengan mewajibkan pengguna untuk menginstal dan menggunakan eHAC, artinya pihak penyedia layanan eHAC, dalam hal ini Kementerian Kesehatan, menyatakan bertanggung jawab dan mampu mengamankan informasi yang diberikan.
“Yang jelas ini mencoreng nama Indonesia, karena mau minta data orang tetapi tidak mampu mengamankan dan mengelola dengan baik,” tuturnya.
Menurut Alfons, jika ada peretas jahat dan mengubah hasil tes, bisa berdampak menambah kekacauan di masa pandemi.
Ia juga memberikan nilai merah kepada tim IT Kemenkes yang mendapat informasi tentang dugaan akses pihak ketiga, tetapi tidak memberikan respon selama berminggu-minggu.
“Catatan merah perlu diberikan kepada tim IT Kemenkes yang dikontak tetapi tidak ada tanggapan hingga berminggu-minggu,” tutur Alfons.
Dalam keterangannya, pihak peneliti vpnMentor menyatakan telah menghubungi Kementerian Kesehatan Indonesia untuk memberitahukan temukan ini. Namun mereka mengklaim, sudah beberapa hari tidak mendapatkan tanggapan mengenai temuan tersebut.
VpnMentor pun lantas menghubungi pihak lain, dalam hal ini Indonesia’s Computer Emergency Response Team (CERT) dan Google sebagai penyedia hosting eHAC. Namun, CERT juga tidak memberikan tanggapan.
“Demikian juga CERT Indonesia yang dikontak dan diinformasikan tetapi tidak memberikan tanggapan sama sekali,” kata Alfons.
Alfons menyebut, database yang ada di dalam eHAC adalah data penting namun diumbar di internet tanpa enkripsi.
Terkait masalah hal ini, menurut pendiri Vaksincom, menyimpan database di internet adalah kesalahan. Apalagi jika data tersebut tidak terenkripsi.
Alfons menekankan, pengembang eHAC perlu dimintai penjelasan mengapa pihaknya menyimpan data di internet tanpa enkripsi. Menurutnya, hal inilah yang membuat data bisa diambil alih oleh pihak ketiga, termasuk akun admin pengelola data.
“Terlepas dari aplikasi eHAC lama atau baru yang datanya diduga bocor, pengelola data mestinya bertanggung jawab untuk mengamankan data,” terangnya.[lian]
