Perusahaan keamanan siber, vpnMentor mengungkapkan pelanggaran data yang melibatkan aplikasi eHAC milik Kementerian Kesehatan (Kemenkes) untuk mencegah dan mengendalikan persebaran Covid-19, terutama dari luar negeri.
Dikutip melalui laman resminya, rim peneliti di vpnMentor mengungkapkan data yang ada di aplikasi electronic Health Alert Card (eHAC) ini tersimpan dalam server yang mudah diakses oleh siapa pun.
Sekadar informasi, e-HAC adalah Kartu Kewaspadaan Kesehatan, merupakan versi modern dari kartu manual yang digunakan sebelumnya. Sistem e-HAC dikembangkan oleh Kementerian Kesehatan Indonesia yaitu Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan dan Pengendalian Penyakit.
Data aplikasi ini wajib digunakan oleh pengunjung yang memasuki Indonesia ataupun mereka yang bepergian domestik untuk memastikan mereka tidak tengah terjangkit virus Covid-19.
Menurut vpnMentor, pengembang eHAC Indonesia belum membenamkan protokol privasi yang baik sehingga data lebih dari 1,3 juta orang terbuka di servernya, yaitu status kesehatan seseorang, informasi pribadi, kontak, hasil tes Covid-19 dan lainnya.
Peneliti vpnMentor, Noam Rotem dan Ran Locar mengatakan diungkapnya bocornya data tersebut adalah bagian dari usaha mereka menekan kasus semacam ini.
“Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” ujarnya.
Hingga awal Agustus, perusahaan belum menerima jawaban dari Kementerian Kesehatan sehingga mereka mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara).
“Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan. Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT Indonesia dan, akhirnya, Google – penyedia hosting eHAC,” tuturnya.
Berdasarkan garis waktu penemuan dan tanggapan, tim vpnMentor menemui adanya kebocoran data pada 15 Juli 2021 dan melakukan kontak ke Kementerian Kesehatan (Kemenkes) pada 21 Juli 2021.
Selanjutnya, pengungkapan kebocoran terhadap CERT Indonesia dilakukan pada 22 Juli 2021 dan kepada BSSN pada 22 Agustus 2021 serta pengungkapan kepada Google sebagai penyedia hosting pada 25 Juli 2021. Upaya kontak kedua pun dilakukan dengan Kemenkes pada 26 Juli 2021.