HEADLINE: Dugaan Kebocoran Data 1,3 Juta Pengguna Aplikasi eHAC, Apa Dampaknya?

Liputan6.com, Jakarta - Indonesia kembali dibayang-bayangi kasus pelanggaran data yang 'menelanjangi' informasi sensitif milik masyarakat, pejabat, dan bahkan negara.

Belum tuntas kasus kebocoran data pribadi penduduk Indonesia yang melibatkan BPJS Kesehatan dan dijual di forum online, kini muncul kasus dugaan kebocoran 1,3 juta data pengguna eHAC atau Electronic Health Alert Card yang dikelola Kementerian Kesehatan (Kemenkes)--baru-baru ini diungkap oleh peneliti vpnMentor.

eHAC merupakan aplikasi yang berfungsi untuk melakukan verifikasi (test and trace) penumpang selama berpergian. Aplikasi ini wajib untuk setiap wisatawan dari negara atau wilayah tertentu untuk memastikan mereka tidak membawa virus corona ke Indonesia.

Karena tak hanya melibatkan pengguna lokal, tetapi juga warga negara asing (WNA) yang masuk ke Tanah Air, kasus ini dinilai mencoreng nama Indonesia di mata dunia dan memberikan rapor merah kepada tim IT Kemenkes.

"Kebocoran data eHAC mencoreng nama Indonesia di mata dunia, karena eHAC diwajibkan untuk di-install bagi orang asing yang masuk ke Indonesia," kata Pengamat Keamanan Siber, Alfons Tanujaya, kepada Liputan6.com, Rabu (1/9/2021).

Ia menilai kasus ini mencoreng nama Indonesia karena pemerintah ingin minta data orang (WNA), tetapi tidak mampu mengamankan dan mengelolanya dengan baik. Pendiri Vaksincom tersebut bahkan tak ragu memberikan rapor merah kepada tim IT Kemenkes yang mendapat informasi tentang dugaan akses pihak ketiga, tetapi tidak memberikan respons selama berminggu-minggu.

"Catatan merah perlu diberikan kepada tim IT Kemenkes yang dikontak, tetapi tidak ada tanggapan hingga berminggu-minggu," tutur Alfons.

Sebagai informasi, peneliti vpnMentor mengaku telah menghubungi Kemenkes untuk memberitahu temuan pelanggaran data ini pada 22 dan 27 Juli 2021 waktu Indonesia. Namun mereka mengklaim tidak mendapatkan tanggapan dari Kemenkes mengenai temuan tersebut.

"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor.

Karena tak mendapat respons dari Kemenkes, VpnMentor lantas menghubungi pihak lain, yaitu Indonesia's Computer Emergency Response Team (CERT) 23 Juli 2021 dan Google sebagai penyedia hosting eHAC pada 26 Juli 2021 waktu Indonesia. Namun, temuan vpnMentor tersebut juga tidak mendapat tanggapan.

Hingga awal Agustus, tidak ada respons dari pihak-pihak tersebut. Lalu vpnMentor kembali mencoba mengontak institusi lain, termasuk Badan Siber dan Sandi Negara (BSSN) pada 23 Agustus 2021 waktu Indonesia.

Menurut vpnMentor, BSSN langsung merespons laporan mereka di hari yang sama. Dua hari kemudian, pada 25 Agustus 2021 waktu Indonesia, server eHAC sudah di-take down. vpnMentor memperkirakan ada lebih dari 1,3 juta pengguna yang bisa menjadi korban kebocoran data ini.

Kepala Pusat Data dan Informasi Kementerian Kesehatan (Kemenkes) Anas Maruf mengakui pihaknya baru merespons temuan vpnMentor pada 23 Agustus 2021, setelah laporan kerentanan kebocoran data eHAC itu diverifikasi BSSN. Meski begitu, Anas tidak menjelaskan kenapa saat vpnMentor memberitahu temuannya pihak Kemenkes tidak langsung menanggapi.

Setelah mendapat pemberitahuan dari BSSN, Kemenkes baru kemudian melakukan penelusuran dan menemukan kerentanan tersebut pada platform mitra eHAC. "Kementerian Kesehatan langsung melakukan tindakan dan kemudian dilakukan perbaikan-perbaikan pada sistem tersebut," ungkap Anas.

eHAC di PeduliLidungi Diklaim Aman

Anas menjelaskan, sebetulnya data pengguna yang bocor terjadi pada aplikasi e-HAC Kemenkes, bukan PeduliLindungi. eHAC Kemenkes tidak lagi digunakan sejak 2 Juli 2021.

"Kebocoran data terjadi di aplikasi eHAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021," jelasnya dalam konferensi pers yang disiarkan melalui YouTube Kemenkes RI, Selasa (31/8/2021).

Setelah eHAC Kemenkes tak digunakan, pemerintah beralih pada eHAC yang tergabung dalam PeduliLindungi. Penggunaan PeduliLindungi dimulai sejak 2 Juli 2021 berdasarkan surat edaran dari Kementerian Kesehatan Nomor: HK.02.01/MENKES/847/2021 Tentang Digitalisasi Dokumen Kesehatan Bagi Pengguna Transportasi Udara.

"Sekali lagi saya tegaskan, sistem yang ada di eHAC yang lama itu berbeda dengan sistem e-HAC yang tergabung di dalam PeduliLindungi. Infrastrukturnya berbeda juga berada di tempat lain (tersimpan aman di govt cloud Kominfo)," tegasnya.

Sebagai langkah mitigasi, ia menambahkan, maka e-HAC yang lama sudah dinonaktifkan. Dan saat ini, e-HAC tetap dilakukan, tetapi berada dalam PeduliLindungi.

"Sekali lagi e-HAC yang digunakan adalah e-HAC yang berada dalam aplikasi PeduliLindungi," ucapnya memungkaskan.

* Untuk mengetahui kebenaran informasi yang beredar, silakan WhatsApp ke nomor 0811 9787 670 hanya dengan ketik kata kunci yang diinginkan.

Tak hanya mencoreng nama negara, kasus ini tentunya bisa berdampak buruk bagi pengguna eHAC. Pakar Keamanan Siber, Pratama Persadha, mengatakan kelengahan ini bisa mengakibatkan pemilik akun (pengguna) eHAC bisa menjadi target penipuan, terutama modus Covid-19.

"Kasus ini bisa mengakibatkan pengguna eHAC bisa menjadi target profiling dan penipuan dengan modus Covid-19, seperti telemedicine palsu maupun semacamnya," ujar Pratama

Bagi pemerintah, kata Pratama, jelas bisa meningkatkan ketidakpercayaan terhadap proses penanggulangan Covid-19 dan usaha vaksinasi, apalagi saat ini vaksinasi menjadikan aplikasi PeduliLindungi sebagai ujung tombak.

"Jadi pasti ada kekhwatiran masyarakat yang takut datanya bocor, meski memakai eHAC yang berbeda sesuai klaim Kemenkes," ucapnya menambahkan.

Ia mengimbau Kemenkes untuk mengamankan server yang dipakai dan membuat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk.

"Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Lakukan pengecekan secara berkala, untuk semua sistem yang dimiliki dan deteksi kerawanan," Pratama menegaskan.

Salah satu yang juga harus diimplementasikan, ungkapnya, adalah enkripsi. Dalam kasus ini seperti sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak aman dan tidak ada implementasi enkripsi, sehingga data yang diambil sangat plain (tidak diacak sama sekali).

Senada dengan Pratama, Alfons menyebut pengguna eHAC yang datanya bocor akan rentan dieksploitasi atau jadi korban kejahatan siber. "Pemilik data yang bocor akan rentan dieksploitasi, misalnya (jadi korban) scam atau penipuan, peretasan, hingga pemalsuan identitas," paparnya.

Bukan hanya itu, menurutnya, jika data diretas secara live bisa berakibat pada kekacauan besar, apalagi mengingat Indonesia kini masih berjuang melawan pandemi Covid-19.

"Misalnya jika orang positif Covid-19 lalu diganti (oleh hacker) jadi negatif, mereka bisa bebas berkeliaran, maka jelas akan menimbulkan bahaya besar di Indonesia," kata Alfons, menjelaskan mengenai kekacauan besar yang bisa terjadi.

Begitu pula sebaliknya, jika ada orang yang negatif Covid-19 tetapi diedit jadi positif, orang tersebut bisa menjadi korban dan justru diperlakukan seperti pasien Covid-19, padahal kenyataannya tak memiliki riwayat Covid-19.

Menurut Alfons, jika seseorang sudah menjadi korban dari dugaan kebocoran data eHAC, tidak ada yang bisa dilakukan karena data sudah berada di tangan peretas.

Untuk mencegah kebocoran data lebih meluas, Alfons mengingatkan agar para pemilik data sekaligus pengguna aplikasi eHAC berhati-hati dengan kemungkinan phishing atau penipuan yang memanfaatkan kebocoran informasi.

Sementara untuk data pribadi yang bocor adalah identitas pengguna, seperti nomor paspor atau NIK. Lalu ada data dan hasil tes Covid-19, ID rumah sakit, alamat, termasuk nomor telepon. Bahkan untuk pengguna Indonesia, ada nama lengkap, tanggal lahir, kewarganegaraan, hingga foto.

Para peneliti vpnMentor juga menemukan ada data dari 226 rumah sakit dan klinik di seluruh Indonesia, berikut nama orang yang bertanggung jawab melakukan tes pada pengguna, doktor yang melakukan tes, informasi mengenai tes yang dilakukan setiap hari, serta data mengenai tipe pelancong yang diizinkan di rumah sakit.

Tidak hanya itu, basis data yang bocor ini termasuk informasi pribadi orangtua atau kerabat, juga detail hotel tujuan mereka dan informasi mengenai kapan akun pengguna eHAC dibuat.

Sejumlah informasi mengenai staf eHAC, seperti nama, nomor ID, nama akun, alamat email, hingga password juga termasuk dalam data yang bocor.

"Seandainya data ditemukan oleh hacker jahat atau kriminal, lalu mengumpulkan data lebih banyak orang, efeknya bisa sangat merusak di tingkat individu dan masyarakat," tulis para peneliti vpnMentor dalam laporannya.

Lebih lanjut para peneliti vpnMentor menuliskan, data pengguna eHAC yang bocor membuat mereka sangat rentan terhadap serangan dan penipuan. Mengingat ada akses ke informasi pribadi, peretas dapat menargetkan korbannya dalam skema yang lebih sederhana maupun kompleks.

Beberapa hal yang mungkin dilakukan adalah mencuri identitas mereka, melacak mereka, termasuk melakukan penipuan secara langsung. Sementara jika datanya tidak cukup, peretas dapat melancarkan aksi phishing lewat email, SMS, atau panggilan telepon.

"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tak terenkripsi. eHAC menggunakan database Elasticsearch yang biasanya tidak dirancang untuk penggunaan URL," tulis para peneliti. 

BSSN dan Kemenkes membantah adanya kebocoran data. Menurut hasil investigasi yang BSSN lakukan bersama Kemkominfo dan Kemenkes, mereka menegaskan tidak terjadi kebocoran data dalam sistem aplikasi eHAC.

Menurut Juru Bicara BSSN, Anton Setiawan, tindakan yang dilakukan vpnMentor merupakan proses berbagi informasi di bidang keamanan siber.

"Apa yang terjadi saat ini bukan terkait kebocoran data. Ini adalah bagian dari proses, kalau dari keamanan siber, kita mengenalnya sebagai threat information sharing di mana pihak yang mempunyai concern soal keamanan siber saling bertukar informasi," tuturnya dalam konferensi pers bersama Kemenkes, Rabu (1/9/2021).

Setelah mendapatkan informasi dari vpnMentor, BSSN mengaku segera melakukan verifikasi dan berkoordinasi dengan Kemenkes untuk melakukan tindakan terhadap kerentanan tersebut.

"Teman-teman dari Kemenkes bisa melakukan tindak lanjut terhadap informasi kerentanan itu. Jadi, data-data yang ada masih tersimpan baik. Informasi ini juga merupakan bagian dari mitigasi risiko untuk melakukan langkah pencegahan," tutur Anton menjelaskan.

Tak hanya itu, Anton menuturkan, BSSN juga melakukan IT Security Assestment dan memberikan masukan terkait keamaan dalam sistem transaksi elektronik.

Untuk diketahui, IT Security Assestment adalah proses penilaian keamanan pada sistem elektronik platform atau aplikasi untuk mencari celah keamanan yang mungkin timbul dan dapat digunakan pihak lain untuk mengeksploitasi ssitem tersebut.

"Dalam hal ini, insight-nya kami berikan rekomendasi pada aplikasi PeduliLindungi yang sekarang kita gunakan bersama-sama dan termasuk fitur eHAC di dalam situ. Jadi, mari sama-sama kita gunakan itu dengan baik dan menjaga supaya tidak ada pihak yang menyalahgunakannya," ujar Anton.

Sistem eHAC Akan Dimusnahkan

Anton menambahkan bahwa sistem eHAC akan dimusnahkan ketika tidak digunakan kembali.

"Terkait sistem eHAC-nya kalau memang sudah tidak digunakan ya tentu sistem ini akan dimusnahkan. Namun, data dari pengendalian dan pengawasan tentu masih digunakan dan data itu ada di Kemenkes," katanya.

"Menjadi kewenangan bagi Kemenkes untuk menggunakan dan melindunginya karena itu data masyarakat," Anton memungkaskan.

Sementara, Kepala Pusat Data dan Informasi Kemenkes, Anas Ma'ruf menekankan bahwa data masyarakat yang ada di dalam sistem eHAC tidak bocor, termasuk yang mengalir ke pihak mitra.

"Kementerian Kesehatan Republik Indonesia memastikan bahwa data masyarakat yang ada di dalam sistem eHAC tidak bocor dan dalam perlindungan," katanya.

"Data masyarakat yang ada di dalam eHAC tidak mengalir ke platform mitra," Anas menambahkan.

Lebih lanjut, Anas mengatakan bahwa data masyarakat yang ada di platform mitra menjadi tanggung jawab penyelenggara sistem elektronik sesuai dengan amanah UU Nomor 19 tahun 2016 tentang informasi elektronik atau UU ITE.

"Kementerian Kesehatan Republik Indonesia mengimbau kepada masyarakat untuk memakai PeduliLindungi, di mana fitur eHAC yang terbaru sudah terintegrasi di dalamnya. Platform PeduliLindungi tersimpan di pusat data nasional," tuturnya.

Anas melanjutkan, Kemenkes juga berterima kasih kepada pihak terkait yang telah memberikan informasi adanya kerentanan tersebut sehingga dapat ditindaklanjuti untuk menghindari risiko keamanan siber yang lebih besar lagi.

"Kemenkes RI mengajak kepada seluruh masyarakat untuk memanfaatkan dan menjaga terhadap penggunaan sistem informasi yang terkait dengan pengendalian COVID-19," ucapnya memungkaskan.

Juru Bicara BSSN, Anton Setiawan menyatakan, tanggung jawab terhadap pelaksanaan sistem elektronik ada di dalam penyelenggaranya. Dalam kasus ini, penyelenggara aplikasi eHAC adalah pemerintah.

"Mengacu pada Undang-Undang ITE dan PPPSTE maka tanggung jawab terhadap penyelenggaraan sebuah sistem elektronik untuk menyelenggarakan sistem yang aman dan handal itu ada di dalam penyelenggaranya," kata Anton.

Ia menambahkan, PeduliLindungi dan eHAC merupakan platform yang penyelenggaranya adalah pemerintah, sehingga dalam hal ini Kemenkes dan Kominfo yang perlu bertanggung jawab penuh. 

Meski begitu, sambung Anton, ada pembagian peran tanggung jawab juga antara penyelenggara dan pengguna terkait dengan penyalahgunaan data.

"Adapun yang disebutkan dalam syarat Terms and Conditions adalah menjelaskan bahwa kita tidak bertanggung jawab bila penyalahgunaan ini dilakukan oleh si pengguna. Jadi ada pembagian peran tanggung jawab."

"Pemerintah pasti bertanggung jawab terhadap sistem tersebut, tapi sebagaimana diamanatkan di undang-undang, tanggung jawab dilakukan pemerintah hanya jika penyalahgunaan dilakukan oleh pihak pemerintah itu sendiri," Anton memungkasi.