Lebih dari 1 Juta Data Pengguna Aplikasi e-HAC Kemenkes Diduga Bocor

Kasus kebocoran data kembali terjadi di Indonesia. Kali ini menyangkut data pengguna yang tersimpan di aplikasi Electronic Health Alert (e-HAC) buatan Kementerian Kesehatan (Kemenkes).

Kasus kebocoran data e-HAC pertama kali diungkap oleh peneliti keamanan siber dari VPNMentor, yang menemukan kebocoran data di aplikasi e-HAC pada 15 Juli lalu.

Sebagai informasi, selain aplikasi PeduliLindungi, pemerintah meluncurkan e-HAC yang merupakan Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.

Lalu pada bulan Juli lalu, Kementerian Komunikasi dan Informatika (Kemenkominfo) menambahkan fitur baru di aplikasi PeduliLindungi untuk memudahkan akses ke aplikasi e-HAC. Integrasi itu bertujuan untuk memudahkan petugas bandara melakukan validasi sebelum penumpang check-in.

Dalam posting-an di blog resmi VPNMentor, diperkirakan, data 1,3 juta pengguna e-HAC yang terdampak kebocoran data. Ukuran data tersebut kurang lebih mencapai 2 GB.

Mereka menemukan kebocoran data di aplikasi e-HAC pada 15 Juli 2021 lalu dan mengungkap bahwa terdapat 1,3 juta data pengguna e-HAC yang bocor.

"Kami menghubungi mereka pada tanggal 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan," tulis VPNMentor.

VPN Mentor mengklaim, aplikasi e-HAC tidak memiliki protokol keamanan aplikasi yang memadai, sehingga rentan ditembus pihak tidak bertanggung jawab.

Pengembang e-HAC disebut menggunakan database Elasticsearch yang dinilai kurang aman untuk menyimpan data.

Kasus ini tidak hanya mengungkap data pengguna e-HAC, tapi juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data staff e-HAC.

Adapun data pengguna yang bocor secara spesifik adalah data terkait penumpang transportasi umum yang memuat informasi pribadi penting seperti nomor KTP, nama lengkap, nomor ponsel, data orang tua dan kerabat.