Sumber gambar, ANTARA/Andi Firdaus/pri

Laporan mengenai kebocoran data aplikasi milik pemerintah ataupun lembaga negara kembali berlaku. Kali ini, aplikasi (Electronic Health Alert Card/eHAC) disebut berimbas pada 1, 3 juta penggunanya.

Pakar keamanan siber sekali lalu Ketua dan Pendiri Nusantara Cyber Security Forum (ICSF), Ardi Sutedja, mengatakan kejadian semacam ini berulang kala terjadi karena “banyak orang masih menganggap keamanan siber itu sesuatu yang tidak penting” serta keamanan keterangan “tidak prioritas”.

“Kebocoran masukan ini puncak gunung es dari masalah keamanan siber nasional kita, ” kata pendahuluan Ardi kepada BBC News Indonesia, Selasa (31/08).

Sejauh ini Kementerian Komunikasi dan Informatika (Kominfo) masih menginvestigasi dugaan kebocoran data pada aplikasi eHAC.

Sebelumnya, VPN Mentor, kedudukan yang fokus pada kesejahteraan Virtual Private Network (VPN), melaporkan adanya dugaan kebocoran 1, 3 juta bahan pengguna pada eHAC.

eHAC merupakan aplikasi milik Kementerian Kesehatan yang berguna sebagai alat penelusuran terhadap orang-orang yang datang ke Indonesia di tengah pandemi Covid-19.

“Sedang ana lakukan investigasi, ” sebutan Juru Bicara Kementerian Hubungan dan Informatika Dedy Permadi saat dihubungi kantor informasi Antara , Selasa (31/08).

Baca juga:

Modus ini sejalan seperti yang dipaparkan oleh Kepala Pusat Data dan Informasi Departemen Kesehatan RI Anas Ma’ruf dalam konferensi pers terbarunya yang dilakukan untuk menanggapi dugaan kebocoran data daripada sistem milik mereka tersebut.

“Kita lakukan upaya investigasi dan penelaahan serta audit forensik, menyala sama dengan lembaga terkait, ” kata Kepala Was-was Data dan Informasi Departemen Kesehatan RI Anas Ma’ruf, menjelaskan langkah lanjutan terkait dugaan kebocoran data tersebut.

Kementerian Kesehatan biar menyebutkan data yang diduga mengalami kebocoran itu ialah aplikasi eHAC yang lama yang tidak lagi digunakan sejak Juli 2021.

Anas pun meminta agar para pengguna aplikasi eHAC yang lama segera menghapus aplikasi itu dari perangkat gawainya masing- masing agar bisa melakukan pencegahan dengan optimal.

VPN Mentor mengucapkan kebocoran data ini berpengaruh luas terhadap pengguna eHAC dan pemerintah Indonesia.

“Kebocoran data ini punya implikasi luas untuk eHAC & usaha pemerintah Indonesia untuk mengendalikan Covid-19. Jika data ini ditemukan oleh peretas kriminal, dampaknya bisa merusak pada individu dan umum, ” sebut VPN Pembimbing.

Bagaimana kronologinya?

Dalam petunjuk yang dirilis ke massa umum, VPN Mentor membicarakan pihaknya menemukan data-data eHAC tanpa rintangan pada 15 Juli 2021. Menurut VPN Mentor, pembuat aplikasi menggunakan database Elasticsearch yang tak dienskripsi dan tidak memiliki tingkat keamanan yang kacau sehingga mudah dan rawan diretas.

Kemudian mereka menemui Kementerian Kesehatan Indonesia pada 21 Juli. Namun, Kemenkes tidak merespons.

Baca juga:

VPN Mentor lantas menghubungi Indonesia Computer Emergency Response Team pada 22 Juli serta Om google selaku penyedia hosting dalam 25 Juli. Kemenkes dihubungi lagi ada 26 Juli, namun tetap tidak ada respons.

“Hingga awal Agustus, kami belum menerima jawaban dari pihak-pihak terkait. Saya mencoba menjangkau beberapa institusi pemerintah lainnya, salah satunya BSSN (Badan Siber dan Sandi Negara) yang diciptakan guna menjalankan aktivitas-aktivitas dalam bidang keamanan siber. Awak menghubugi mereka pada 22 Agustus dan mereka menanggapi pada hari yang setara. Dua hari kemudian, pada 24 Agustus, servernya ditutup, ” sebut VPN Mentor.

Data apa saja dengan disebut bocor?

Data yang bocor tidak hanya mengungkap data pribadi 1, 3 juta pengguna eHAC, taat VPN Mentor. Kebocoran itu juga mengungkap seluruh infrastruktur seputar eHAC, termasuk pesan pribadi dari berbagai vila sakit hingga tenaga kesehatan yang menangani pelaku kunjungan.

“Pemerintah Indonesia memperkenalkan electronic Health Alert Card (eHAC) untuk membantu menangkal penyaluran Covid-19 di negara tersebut. Aplikasi ini diwajibkan untuk pelku perjalanan yang mendatangi Indonesia dari luar negeri, baik WNI maupun warga asing. Juga disyaratkan untuk penerbangan domestik, ” tulis VPN Mentor pada laporannya.

eHAC ini diunduh ke ponsel pengguna dan mengemasi status kesehatan terkini dan informasi lain.

Adapun informasi pengguna yang bocor pada eHAC mencakup antara asing:

Data tes Covid-19

  • Kartu identitas pelaku perjalanan
  • Identitas rumah sakit
  • Nomor antrean
  • Nomor referensi
  • Tipe tes Covid (PCR, rapid antigen, lainnya), tanggal dan lokasi
  • Hasil tes Covid dan tanggal dikeluarkan
  • Identitas dokumen eHAC

Kebocoran selalu mencakup data dari 226 rumah sakit dan klinik di Indonesia :

  • Rincian rumah sakit (nama, bagian lisensi, lokasi pasti dilengkapi koordinat, nomor WhatsApp, tanda operasional).
  • Nama penanggung jawab bagi pelaku perjalanan
  • Nama dokter yang menangani sang pelaku perjalanan
  • Daya tampung rumah lara
  • Jenis tes yang dilakukan rumah melempem tersebut
  • Jumlah tes yang dilakukan di setiap hari
  • Jenis pelaku perjalanan yang ditangani rumah sakit tersebut

Identitas pengguna kendati bocor, antara lain:

  • Detil pelaku kunjungan (nomor paspor/KTP, nama sempurna, nomor telepon, pekerjaan, macam kelamin, dan lainnya)
  • Paspor dan foto profil di akun eHAC
  • Detil hotel pelaku perjalanan
  • Detil tentang akun eHAC perjalanan dan kapan dibuat

Mengapa hal ini berulang kali terjadi?

Dalam Mei 2021, data sekitar 279 juta warga Indonesia – termasuk mereka yang sudah meninggal dunia semrawut diduga diretas dan dijual di forum daring. Keterangan itu diduga berasal lantaran badan penyelenggara layanan kesehatan tubuh, BPJS Kesehatan.

Lantas di Mei tahun lalu, data kependudukan milik sekitar 2, 3 juta warga Indonesia yang memuat nomor pokok kependudukan (NIK) serta nama dan alamat lengkap, diduga bocor dan dibagikan lewat forum komunitas hacker. Petunjuk itu diduga bersumber lantaran Komisi Pemilihan Umum (KPU).

Pada 2019, situs jual beli online Bukalapak mengaku telah mendapat serangan dibanding peretas yang menyebabkan petunjuk pribadi 13 juta akun penggunanya bocor.

Pakar keamanan siber sekaligus Ketua serta Pendiri Indonesia Cyber Security Forum (ICSF), Ardi Sutedja, mengatakan bahwa rangkaian perkara itu menunjukkan bahwa “masih banyak dari kita yang tidak belajar dari pengalaman”.

“Kebocoran data ini teratas gunung es dari urusan keamanan siber nasional kita. Jadi kita masih banyak belajar, ” kata Ardi.

“Kalau keamanan siber tidak menjadi prioritas, tentunya dengan namanya keamanan data selalu akan menjadi tidak prioritas. ”

Ardi juga menghargai kementerian-kementerian serta lembaga-lembaga negara masih menggunakan infrastruktur parah pengolahan data memakai sistem dan tekonologi yang periode.

“Karena kalau mau menggodok data secara optimal secara fitur-fitur keamanan yang optimal ya tentu mereka harus investasi. Mereka harus logistik yang tentunya tidak gampang, itu baru dari bagian teknologinya.

“Belum lagi daripada sisi SDM nya. Berapa orang di kementerian kesehatan tubuh, atau siapapun yang memajukan app itu mengerti mengenai security? Jadi ada besar faktor, satu masalah teknologi yang sudah lewat masa, kedua masalah SDM. ”