Selasa 31 Aug 2021 11:58 WIB

Data di Aplikasi eHAC Buatan Kemenkes Diduga Bocor

Kebocoran meliputi informasi paspor dan data perawatan kesehatan aplikasi eHAC.

Foto: Angkasa Pura II

Guna mempermudah calon penumpang pesawat, hasil tes COVID-19 yang dilakukan di Airport Health Center Bandara Soekarno-Hatta dapat langsung dikirimkan (submit) ke aplikasi electronic health alert card (eHAC) milik Kementerian Kesehatan.

REPUBLIKA.CO.ID, JAKARTA -- Peneliti dari vpnMentor menemukan pelanggaran data yang melibatkan aplikasi tes dan pelacakan COVID-19 yang dibuat Pemerintah Indonesia. Dilansir dari ZDnet, Selasa (31/8) informasi paspor dan data perawatan kesehatan dari aplikasi tes dan lacak COVID-19 Indonesia untuk pelancong bocor.

Aplikasi pengujian dan pelacakan bernama Electronic Health Alert Card atau eHAC dibuat pada 2021 oleh Kementerian Kesehatan Indonesia. Tim vpnMentor, yang dipimpin Noam Rotem dan Ran Locar, mengatakan, aplikasi itu tidak memiliki privasi data yang tepat.

Baca Juga

Aplikasi ini dibangun untuk menampung hasil tes dari mereka yang bepergian ke Indonesia untuk memastikan mereka tidak terinfeksi COVID-19. Aplikasi ini juga merupakan persyaratan wajib bagi siapa pun yang terbang ke Indonesia dari negara lain.

Baik orang asing maupun warga negara Indonesia harus mengunduh aplikasi. Aplikasi eHAC melacak status kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes COVID-19, dan data lainnya.

Rotem dan Locar mengatakan, tim mereka menemukan basis data yang terbuka. Ini merupakan bagian dari upaya untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia.

"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," kata tim peneliti vpnMentor.

Setelah beberapa hari tidak ada jawaban dari kementerian, tim menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan, Google sebagai penyedia hosting eHAC. Hingga awal Agustus, tim belum menerima jawaban dari pihak terkait.

"Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama . Dua hari kemudian, pada 24 Agustus, server dimatikan."

Dalam laporan mereka, para peneliti menjelaskan bahwa orang yang membuat eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.

Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos. Yang terekspos termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut.

Kementerian Kesehatan dan Kementerian Luar Negeri Indonesia belum menanggapi permintaan komentar dari ZDNet.

Ikuti Whatsapp Channel Republika