Aplikasi EHac merupakan aplikasi tes dan pelacakan Covid-19 yang dibuat oleh Kementrian Kesehatan RI untuk mereka yang mengunjungi Indonesia memastikan siapapun tidak membawa virus.
Mereka yang berkunjung ke Indonesia wajib mengunduh aplikasi tersebut. Tidak hanya bagi turis asing, namun juga warga Indonesia yang habis bepergian dari luar negeri.
Dimana, menurut Para peneliti dari perusahaan keamanan siber vpnMentor mengungkapkan bahwa mereka berhasil membobol aplikasi eHac milik Kementerian Kesehatan dan dengan mudah bisa mengakses data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 di Tanah Air tersebut.
Tim vpnMentor, yang dipimpin Noam Rotem dan Ran Locar, mengatakan, aplikasi itu tidak memiliki privasi data yang tepat, sehingga data lebih dari sejuta pengguna terekspos di sebuah open server.
"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor.
Namun, Kementerian Kesehatan tak merespon laporan tersebut. Para peneliti juga menghubungi Computer Emergency Response Team Indonesia dan Google, sebagai penyedia hosting EHAC.
"Sampai Agustus, kami tidak menerima jawaban dari semua pihak terkait. Kami mencoba menghubungi lembaga pemerintah lainnya, salah satu di antaranya adalah BSSN. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudia, pada 24 Agustus, server tersebut dimatikan," jelas vpnMentor.
Baca Juga: Kemendag Blokir 2.453 Jasa Cetak Sertifikat Vaksin COVID, Cegah Data Bocor
Jutaan Data Pengguna Tersebar
Menurut laporan vpnMentor mengatakan bahwa orang yang membuat EHAC telah menggunakan "database Elastisearch yang tidak aman untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna EHAC."
Selain data-data pribadi pengguna, yang juga tak terlindungi dari aplikasi EHAC adalah informasi tentang rumah-rumah sakit dan para pejabat Indonesia yang menggunakan aplikasi tersebut.
Adapun data-data yang terekspos yakni nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.
"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," imbuh para peneliti.
Bahkan, peneliti dari vpnMentor mengatakan dengan data-data dari EHAC, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.
Peretas, misalnya, bisa berpura-pura menjadi dokter dan memilih korbannya dari 1,3 juta pengguna yang data pribadinya terekspos di server eHAC. Selain itu pertas juga bisa mengubah data di platform EHAC, semisal hasil tes Covid-19 pengguna, sehingga membuat penanganan Covid-19 di Indonesia menjadi terganggu.
Baca Juga: Waduh, Link Unduh Data Bocor Akun Tokopedia Tersebar di Medsos
Kemenkes Minta Uninstall
Kepala Pusat Data dan Informasi Kementerian Kesehatan (Kemenkes) Anas Ma'ruf meminta masyarakat untuk uninstall atau menghapus aplikasi electronic Health Alert Card (EHAC). Kemenkes meminta pengguna menghapus aplikasi EHAC yang terpisah dari PeduliLindungi. Karena, EHAC kini sudah terintegrasi langsung di aplikasi PeduliLindungi.
Pemerintah meminta ke masyarakat untuk menghapus, menghilangkan, atau uninstall aplikasi EHAC yang lama, yang terpisah (dari PeduliLindungi)," kata Anas dalam konferensi pers virtual.
Permintaan ini juga merupakan respons Kemenkes soal kebocoran 1,3 juta data pengguna EHAC di internet. Anas mengklaim, insiden ini terjadi untuk aplikasi lama yang belum terhubung ke PeduliLindungi.
"Aplikasi eHAC yang lama sudah tidak digunakan sejak 2 Juli 2021, sesuai dengan surat edaran dari Kemenkes nomor HK.02.01/MENKES/847/2021 tentang Digitalisasi Dokumen Kesehatan bagi Pengguna Transportasi Udara yang Terintegrasi dengan Aplikasi PeduliLindungi," tutur Anas.
Anas memaparkan, Kemenkes sudah mulai menggunakan aplikasi PeduliLindungi sejak 2 Juli 2021, di mana EHAC ini sudah terintegrasi dan berada di aplikasi tersebut.
"Sistem yang ada di PeduliLindungi, dalam hal ini EHAC, berbeda dengan sistem yang lama. Jadi sekali lagi saya tegaskan, sistem yang ada di EHAC lama, itu berbeda dengan sistem EHAC yang tergabung di PeduliLindungi. Infrastrukturnya berbeda," kata Anas.
Kemudian, Anas memastikan bahwa data dari aplikasi EHAC yang sudah ada di PeduliLindungi dijamin aman. Sebab, semua data pengguna sudah dialihkan ke Pusat Data Nasional.
"Untuk eHAC yang ada di PeduliLindungi, servernya ada di Pusat Data Nasional, dan terjamin pengamanannya dari lembaga terkait, baik itu Kementerian Komunikasi dan Informatika (Kominfo) dan Badan Siber dan Sandi Negara," klaim Anas.
