Pemerintah Diimbau Tingkatkan Keamanan Data dengan Cara Ini
Kominfo melakukan investigasi terkait dugaan kebocoran data pribadi pengguna eHAC.
REPUBLIKA.CO.ID, JAKARTA -- Peneliti Keamanan Siber dari Communication Information System Security Research Center (CISSReC) Pratama Persada menanggapi terkait terkait dugaan kebocoran data pada aplikasi Indonesia Health Alert Card (eHAC). Menurutnya, jika kebocoran data itu terkonfirmasi benar, bisa mengakibatkan pemilik akun e-HAC menjadi target profiling dan penipuan dengan modus covid terutama, seperti telemedicine palsu maupun semacamnya.
"Pemerintah sendiri lewat BSSN cukup cepat melakukan respon setelah mendapatkan info dari tim Vpnmentor, dengan rekomendasi melakukan takedown pada server aplikasi. Seharusnya, saat pertama kali Kemenkes mendapatkan info tersebut, langsung melakukan aksi baik dengan kontak ke BSSN atau langsung men-takedown sendiri," katanya saat dihubungi Republika.co.id, Selasa (31/8).
Dia melanjutkan data yang sudah tersebar ke internet mustahil untuk dihilangkan karena sudah menyebar kemana-mana. Bagi pemerintah, kata dia, kasus ini bisa menimbulkan ketidakpercayaan terhadap proses penanggulangan covid dan usaha vaksinasi. Apalagi saat ini vaksinasi menjadikan aplikasi pedulilindungi sebagai ujung tombak, jadi pasti ada kekhwatiran datanya juga bocor, meski memakai e-HAC yang berbeda sesuai penurutan Kemenkes.
Ia menyarankan ada beberapa hal yang harus dilakukan Kemenkes. Amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk. Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Lakukan pengecekan secara berkala, untuk semua sistem yang dimiliki, untuk mendeteksi kerawanan.
"Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure dan tidak ada implementasi enkripsi, sehingga data yang diambil tidak diacak sama sekali," kata dia.
eHAC yang merupakan aplikasi untuk memverifikasi penumpang yang melakukan perjalanan selama pandemi Covid-19. Pada Selasa (31/8), aplikasi tersebut dilaporkan mengalami dugaan kebocoran 1,3 juta data pribadi pengguna aplikasi tersebut.
Mengutip laporan itu pada Selasa (31/8), kebocoran data berasal dari penggunaan database Elasticsearch yang tidak memiliki jaminan untuk menyimpan data sekitar 1,3 juta pengguna eHAC. Adapun, data yang bocor dan bisa diraih dari database eHAC di antaranya merupakan data pribadi pengguna aplikasi, antara lain nama, nomor KTP, paspor, foto profil yang dilampirkan dalam eHAC, detail hotel pengguna, hingga detail waktu akun tersebut dibuat.
Selain data pribadi, dokumen hasil tes Covid-19 juga bisa diakses serta data dari rumah sakit hingga klinik yang dimasukan di dalam aplikasi eHAC, meliputi dokter yang bertanggung jawab, kapasitas rumah sakit, detail rumah sakit hingga titik koordinat lokasi rumah sakit.
Kementerian Kesehatan menyampaikan hasil penelusuran sementara, dugaan kebocoran data ada pada aplikasi eHAC lama yang sudah dinonaktifkan sejak 2 Juli 2021.
Juru bicara Kementerian Komunikasi dan Informatika Dedy Permadi mengatakan insiden dugaan kebocoran data pribadi ini tidak mempengaruhi keamanan data pada aplikasi eHAC yang terintegrasi dengan aplikasi PeduliLindungi. Sebab, penyimpanan data telah dilakukan di Pusat Data Nasional (PDN).