Sekilas tentang eHAC, Aplikasi Bikinan Kemenkes yang Alami Kebocoran Data 1,3 Juta Pengguna

Seorang pengguna eHAC di Kota Bekasi, Jawa Barat, memperlihatkan aplikasi lama yang sudah tidak berfungsi, Selasa (31/8/2021). ANTARA - Andi Firdaus
31 Agustus 2021 14:37 WIB Aprianus Doni Tolok Tekno Share :

Harianjogja.com, JAKARTA — Data pengguna di aplikasi Electronic Health Alert (e-HAC) buatan Kementerian Kesehatan (Kemenkes) diduga bocor.

Kasus kebocoran data e-HAC diungkap oleh peneliti keamanan siber dari VPNMentor. Setidaknya lebih dari 1 juta data pengguna yang terkespos dengan total besaran data menvapai 2 gigabyte.

Dikutip dari laman VPNMentor, Senin (30/8/2021), e-HAC yang merupakan singkatan dari Electronic-Health Alert Card atau Kartu Kewaspadaan Kesehatan adalah aplikasi pelacakan dan testing bagi orang-orang yang masuk ke Indonesia.

Sistem e-HAC dikembangkan oleh Kementerian Kesehatan untuk memantau secara cepat terhadap seluruh calon pengunjung yang akan datang ke Indonesia melalui pelabuhan laut maupun bandara.

Setiap orang yang akan masuk ke wilayah Indonesia menggunakan pesawat terbang atau kapal laut wajib mengisi aplikasi e-HAC yang diunduh ke perangkat seluler penumpang.

Nantinya di dalam aplikasi itu tersimpan status kesehatan terkini, Personally Identifiable Information (PII), detail kontak, hasil tes Covid-19, dan banyak lagi.

Bisnis mencoba mengakses laman inahac.kemkes.go.id, untuk memperoleh informasi lebih dalam terkait e-HAC, tapi laman tersebut saat ini tidak bisa diakses.

Sementara itu, berdasarkan penjelasan yang dikutip melalui laman infeksiemerging.kemkes.go.id, E-HAC adalah singkatan dari Electronic - Health Alert Card, yaitu Kartu Kewaspadaan Kesehatan, merupakan versi modern dari kartu manual yang digunakan sebelumnya.

Sistem E-HAC dikembangkan oleh Kementerian Kesehatan Indonesia, dalam hal ini, Direktorat Surveilans dan Karantina Kesehatan, Ditjen Pencegahan dan Pengendalian Penyakit, untuk menjawab tantangan di era globalisasi saat ini. Di mana pada saat ini lalu lintas kedatangan penumpang ke dan dari Indonesia sulit dihindari, sehingga dibutuhkan sebuah sistem untuk monitoring secara cepat terhadap seluruh calon pengunjung yang akan datang ke Indonesia melalui pintu gerbang pelabuhan laut maupun bandara.

Selain itu, Kemenkes menjelaskan ada beberapa hal yang perlu dilakukan oleh pengguna e-HAC, antara lain adalah:

1. Sebagai calon penumpang dengan tujuan ke Indonesia, Anda harus mendaftarkan diri sebelum keberangkatan Anda. Untuk memudahkan diri Anda dan petugas, isilah form yang ada, dengan data diri Anda secara benar.

2. Setelah Anda tiba di Indonesia, di bandara atau pelabuhan, tunjukkan barcode pada aplikasi E-HAC di perangkat Anda kepada petugas kesehatan, yang akan memeriksa data-data yang sudah Anda isi sebelumnya.

3. Apabila terjadi keadaan darurat, dimana Anda membutuhkan bantuan medis dengan segera, Anda dapat menekan tombol panik yang berada pada aplikasi E-HAC.

Diberitakan sebelumnya, tim peneliti VPNMentor, Noam Rotem dan Ran Locar, menyebut e-HAC tidak memiliki privasi maupun protokol keamanan data yang mumpuni. Alhasil mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.

Disebutkan VPNMentor, tak hanya pengguna e-HAC yang datanya terekspose, tapi juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data staff e-HAC.

Pihak VPNMentor mengaku sudah mengontak Kementerian Kesehatan pada 21 Juli 2021 dan 26 Juli 2021 terkait dugaan kebocoran data ini. Namun belum ada respon.

VPNMentor pun mengaku mengontak pihak Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021 dan langsung direspon. Pada 24 Agustus, tulis VPNMentor, langsung dilakukan tindakan.

Disebutkan VPNMENTOR beberapa data tes Covid-19 yang bocor adalah:

- Nomor identitas dan tipe penumpang (termasuk wisatawan domestik dan internasional)
- Nomor ID Rumah Sakit
- Nomor antrean saat melakukan tes
- Nomor referensi
- Alamat dan jadwal home visit
- Jenis tes (PCR, rapid antigen, dll), tanggal, dan tempat
- Hasil tes dan tanggal dikeluarkan
- ID dokumen e-HAC

Sementara itu, data lainnya seperti Nomor Rekam Medis/Unit Records Number (URN) yang memuat data nama penumpang, nomor ID URN, dan nomor ID Rumah Sakit. Disebutkan pula terdapat 226 rumah sakit dan klinik di Indonesia yang data terekspose.

Adapun cakupan data yang terekspose adalah:

-Profil Rumah Sakit (ID, nama, nomor lisensi, alamat lengkap dengan koordinat)
- Kontak Rumah Sakit, termasuk nomor WhatsApp dan jam buka
- Nama penanggung jawab penumpang
- Nama dokter penumpang
- Kapasitas Rumah Sakit
- Jenis tes yang dilakukan Rumah Sakit
- jumlah tes harian


Kemudian, data penumpang yang diduga bocor adalah:

- Data pribadi mulai dari nomor KTP, nama lengkap, nomor ponsel, pekerjaan, gender, dan sebagainya.
- Paspor dan foto profil yang dipasang di akun e-HAC
- Hotel tempat penumpang menginap
- Data orang tua atau kerabat dekat penumpang
- Foto ID penumpang tambahan
- Rincian akun e-HAC dan kapan akun dibuat

Kemudian untuk data staff e-HAC yang bocor adalah:

- Nomor ID
- Nama
- Username akun e-HAC
- alamat email
- Password
- waktu pembuatan akun e-HAC

peneliti VPNMentor menyampaiakan bahwa aplikasi e-HAC gagal menerapkan protokol privasi data yang memadai sehingga data lebih dari 1 juta orang bisa diakses di server terbuka.

Dalam laporannya, peniliti dari VPNMentor telah mengirimkan laporan temuannya itu kepada Kementerian Kesehatan tapi tidak mendapatkan tanggapan.

Sumber : JIBI/Bisnis.com