Kasus kebocoran data kembali terjadi di Indonesia. Kali ini
menyangkut data pengguna yang tersimpan di aplikasi Electronic Health Alert
(e-HAC) buatan Kementerian Kesehatan (Kemenkes).
Kasus kebocoran data e-HAC pertama kali diungkap oleh
peneliti keamanan siber dari VPNMentor, yang menemukan kebocoran data di
aplikasi e-HAC pada 15 Juli lalu.
Sebagai informasi, selain aplikasi PeduliLindungi, pemerintah
meluncurkan e-HAC yang merupakan Kartu Kewaspadaan Kesehatan versi modern dan
menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam
maupun luar negeri.
Lalu pada bulan Juli lalu, Kementerian Komunikasi dan
Informatika (Kemenkominfo) menambahkan fitur baru di aplikasi PeduliLindungi
untuk memudahkan akses ke aplikasi e-HAC. Integrasi itu bertujuan untuk
memudahkan petugas bandara melakukan validasi sebelum penumpang check-in.
Dalam posting-an di
blog resmi VPNMentor, diperkirakan, data 1,3 juta pengguna e-HAC yang
terdampak kebocoran data. Ukuran data tersebut kurang lebih mencapai 2 GB.
Mereka menemukan kebocoran data di aplikasi e-HAC pada 15
Juli 2021 lalu dan mengungkap bahwa terdapat 1,3 juta data pengguna e-HAC yang
bocor.
"Kami menghubungi mereka pada tanggal 22 Agustus dan
mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server
dimatikan," tulis VPNMentor.
VPN Mentor mengklaim, aplikasi e-HAC tidak memiliki protokol
keamanan aplikasi yang memadai, sehingga rentan ditembus pihak tidak
bertanggung jawab.
Pengembang e-HAC disebut menggunakan database Elasticsearch yang dinilai kurang aman untuk menyimpan
data.
Kasus ini tidak hanya mengungkap data pengguna e-HAC, tapi
juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang
dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data
staff e-HAC.
Adapun data pengguna yang bocor secara spesifik adalah data
terkait penumpang transportasi umum yang memuat informasi pribadi penting
seperti nomor KTP, nama lengkap, nomor ponsel, data orang tua dan kerabat.
