Kebocoran Data eHAC Ancam Keamanan 1,3 Juta Penggunanya
The Register menunjukkan kasus kebocoran data eHAC yang diungkap oleh ulasan keamanan vpnMentor pada 30 Agustus 2021 lalu. Dalam ulasan itu, tim peneliti vpnMentor menyebut bahwa mereka menemukan data yang dihasilkan dari aplikasi eHAC, sebuah aplikasi wajib bagi para pelancong yang keluar-masuk Indonesia untuk mencegah penyebaran pandemi Covid-19, terekspos secara terbuka.
Aplikasi tersebut dibangun pada 2021 oleh Kementerian Kesehatan. Namun, vpnMentor menduga kalau pengembang aplikasi tersebut gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari satu juta orang terekspos secara terbuka melalui berkas JSON.
“Tim kami menemukan data eHAC tanpa hambatan karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki basis data dan memastikan bahwa itu asli, kami menghubungi Kementerian Kesehatan Indonesia untuk mempresentasikan temuan kami,” ujar tim peneliti vpnMentor dalam ulasan mereka.
Secara kronologis waktu, tim keamanan vpnMentor menemukan kebocoran data eHAC pada 15 Juli 2021. Pada 21 Juli, pihak mereka menghubungi Kementerian Kesehatan untuk menginformasikan adanya kebocoran data.
Sehari setelahnya, mereka menghubungi ID-CERT (Indonesia Computer Emergency Response Team). Menyusul kemudian pada 16 Agustus laporan kepada id-SIRTII/CC (Indonesia Security Incident Response Team on Internet Infrastructure/Coordination Center) hingga pada 22 Agustus mereka menghubungi Badan Siber dan Sandi Negara (BSSN).
“Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah lainnya, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber,” ungkap mereka.
“Kami menghubungi mereka (BSSN) pada tanggal 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan,” imbuh penjelasan tersebut.
Di tengah upaya untuk menghubungi pihak-pihak berwenang lainnya di Indonesia terkait kebocoran data eHAC ini, vpnMentor juga kembali menghubungi Kementerian Kesehatan untuk yang kedua kalinya pada 26 Juli 2021, namun tidak ada respons yang diberikan.