08 Sep BREAKING NEWS | EHAC kena Hack
Halo Sobat Prima Plastindo, Setelah sebelumnya data BPJS dilaporkan bocor, sekarang data eHAC dikabarkan juga diduga bocor. Apakah benar terjadi kebocoran ini? Apa risiko bahayanya bagi mereka yang datanya bocor? Belum selesai masalah kebocoran data BPJS, kini muncul dugaan kebocoran data dari eHAC atau electronic Health Alert Card yang dikelola oleh Kementrian Kesehatan Indonesia.
Apa sebenarnya aplikasi eHAC ini?
eHAC ini sendiri adalah aplikasi yang berfungsi untuk melakukan verifikasi penumpang yang bepergian selama masa pandemi ini demi kepentingan testing dan tracing. Aplikasi ini wajib digunakan oleh orang dari luar negeri yang akan masuk ke wilayah Indonesia untuk memastikan mereka tidak membawa masuk virus corona ke dalam Indonesia.
Jika dugaan kebocoran data ini benar, maka ini berpotensi mencoreng nama Indonesia di mata dunia, karena kebocoran datanya dapat melibatkan data-data warga negara asing yang bepergian ke wilayah Indonesia.
“Kebocoran data eHAC mencoreng nama Indonesia di mata dunia, karena eHAC diwajibkan untuk di-install bagi orang asing yang masuk ke Indonesia,” kata Pengamat Keamanan Siber, Alfons Tanujaya saat diwawancara.
Dari mana datangnya dugaan kebocoran data ini?
Dugaan ini pertama kali muncul saat ada pihak yang melakukan testing dan penelitian akan database eHAC dan menemukan kelemahan pada sistem verifikasi aksesnya.
“Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami,” kata tim peneliti vpnMentor.
VPNMentor telah melaporkan temuan pelanggaran data ini pada tanggal 22 dan 27 Juli 2021 kepada Kemenkes untuk ditindaklanjut secepatnya, namun mereka mengklaim tidak menerima tanggapan dari pihak Kemenkes atas temuan tesebut. Karena tidak ada tanggapan, laporan ini diteruskan juga ke Indonesia’s Computer Emergency Response Team (CERT) dan Google sebagai hosting dari eHAC. Karena tetap tidak ada tanggapan, akhirnya selang sebulan, masalah ini dilaporkan ke Badan Siber dan Sandi Negara (BSSN) pada 23 Agustus 2021, yang ternyata langsung merespon dengan cepat, dan dalam jangka waktu 2 hari, server e-HAC langsung dinonaktifkan. Diperkirakan ada lebih dari 1,3 juta data pengguna yang terancam menjadi korban dari dugaan kebocoran data ini.
Apa saja data yang tercakup dalam ancaman dugaan kebocoran ini?
Sejauh ini, data yang diduga bocor mencakup identitas pengguna, seperti informasi paspor atau NIK, lengkap dengan nama lengkap, tanggal lahir, kewarganegaraan, bahkan juga foto. Selain itu, ada juga data dari 226 rumah sakit dan klinik, termasuk nama orang yang melakukan tes, tipe tes, bahkan sampai detail staf e-HAC, seperti nama, nomor ID, email, sampai kata sandi juga termasuk dalam data-data ini.
“Seandainya data ditemukan oleh hacker jahat atau kriminal, lalu mengumpulkan data lebih banyak orang, efeknya bisa sangat merusak di tingkat individu dan masyarakat,” tulis pihak vpnMentor dalam laporannya.
Apa efek buruk atas kebocoran data seperti ini?
Jika kebocoran ini benar terjadi, dan data-data sensitif ini jatuh ke tangan yang salah, maka resiko serangan dan kerugian yang dapat terjadi akan sangat tinggi. Sebelumnya, kami telah membahas tentang bahaya-bahaya yang menanti kalau ada kebocoran data sensitif seperti yang terjadi dalam kasus BPJS.
Mulai dari pencurian identitas, pelacakan, penipuan langsung, hingga phising melalui email, SMS, maupun telepon, para peretas bisa menggunakan berbagai cara untuk mengincar korban yang mereka miliki datanya. Mulai dari pencurian identitas, pelacakan, penipuan langsung, hingga phising melalui surat elektronik, SMS, maupun telepon, para peretas bisa menggunakan berbagai cara untuk mengincar korban yang mereka miliki datanya.
“Pemilik data yang bocor akan rentan dieksploitasi, misalnya (jadi korban) scam atau penipuan, peretasan, hingga pemalsuan identitas,” ungkap Alfons Tanujaya.
Masalah kebocoran data dan tindak pelanggaran elektronik sudah sering terjadi pada nasabah perbankan di Indonesia, dan hal ini diungkap oleh Menteri Kesehatan RI, Budi Gunadi Sadikin, saat menghadiri ungkap kasus tindak pidana ilegal akses data vaksinasi di Mapolda Metro Jaya.
“Kalau perbankan, korbannya satu (orang/nasabah), tapi karena ini (aplikasi PeduliLindungi) orangnya lolos, yang kena tidak hanya satu, tapi orang-orang di sekitarnya, bisa keluarga, bahkan orang se-Indonesia,” ungkapnya
Belum lagi, kalau para peretas dapat mengakses secara langsung basis data ini dan merekayasa data yang ada di dalamnya secara langsung.
“Misalnya jika orang positif Covid-19 lalu diganti (oleh hacker) jadi negatif, mereka bisa bebas berkeliaran, maka jelas akan menimbulkan bahaya besar di Indonesia,” ujar Alfons Tanujaya.
Sudah pasti akan menjadi masalah yang sangat serius bila dugaan kebocoran ini benar terjadi.
Tapi, apakah dugaan kebocoran data ini memang benar terjadi?
BSSN dan Kemenkes membantah adanya kebocoran data pengguna eHAC setelah melakukan investigasi gabungan antara Kemkominfo dan Kemenkes.
“Kebocoran data terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021,” jelas Anas Maruf dalam konferensi pers yang disiarkan melalui YouTube Kemenkes RI
Setelah 2 Juli 2021, aplikasi eHAC yang lama diklaim tidak lagi digunakan karena pemerintah mengalihkan sistemnya ke eHAC yang baru dan tergabung dengan aplikasi PeduliLindungi.
“Sekali lagi saya tegaskan, sistem yang ada di eHAC yang lama itu berbeda dengan sistem e-HAC yang tergabung di dalam PeduliLindungi. Infrastrukturnya berbeda juga berada di tempat lain,” tegas Anas Maruf.
Selain itu, sebagai langkah mitigasi, basis data eHAC yang lama telah dinonaktifkan, sehingga database dan aplikasi eHAC yang live hanya yang baru dan tergabung dengan PeduliLindungi. Hasil investigasi dan laporan dari VPNMentor atas dugaan kerentanan database eHAC yang lama juga telah digunakan sebagai masukan untuk menutup celah keamanan yang bisa jadi dimanfaatkan pihak lain pada sistem eHAC baru yang terintegrasi dengan PeduliLindungi.
“Dalam hal ini, insight-nya kami berikan rekomendasi pada aplikasi PeduliLindungi yang sekarang kita gunakan bersama-sama dan termasuk fitur eHAC di dalam situ. Jadi, mari sama-sama kita gunakan itu dengan baik dan menjaga supaya tidak ada pihak yang menyalahgunakannya,” ungkap Juru Bicara BSSN, Anton Setiawan, dalam konferensi pers bersama Kemenkes.
Bagaimana harapan ke depannya?
Dari kasus dugaan kerentanan basis data eHAC ini, banyak yang berharap kedepannya sistem verifikasi akses data dan pelaporan celah keamanan dapat terus diperkuat dan ditingkatkan, sehingga data-data sensitif yang dikelola di dalamnya dapat tersimpan dengan aman.