Bisnis.com, JAKARTA - Data pengguna di aplikasi Electronic Health Alert (e-HAC) buatan Kementerian Kesehatan (Kemenkes) diduga bocor.
Adapun e-HAC adalah Kartu Kewaspadaan Kesehatan yang jadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.
Dugaan kebocoran data e-HAC pertama kali diungkap oleh peneliti keamanan siber dari VPNMentor. Tim peneliti VPNMentor Noam Rotem dan Ran Locar menyebut eHAC tidak memiliki privasi maupun protokol keamanan data yang mumpuni. Alhasil mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.
Setidaknya ada 1,3 juta pengguna yang terkespos dengan total besaran data mencapai 2 gigabyte.
Disebutkan VPNMentor, tak hanya pengguna e-HAC yang datanya terekspose, tapi juga seluruh infrastruktur terkait e-HAC, seperti data tes Covid-19 yang dilakukan penumpang, data pribadi penumpang, data rumah sakit, hingga data staff e-HAC.
Pihak VPNMentor mengaku sudah mengontak Kementerian Kesehatan pada 21 Juli 2021 dan 26 Juli 2021 terkait dugaan kebocoran data ini. Namun belum ada respons.
VPNMentor pun mengaku mengontak pihak Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021 dan langsung direspons. Pada 24 Agustus, tulis VPNMentor, langsung dilakukan tindakan.
Disebutkan VPNMENTOR beberapa data tes Covid-19 yang bocor adalah:
- Nomor identitas dan tipe penumpang (termasuk wisatawan domestik dan internasional)
- Nomor ID Rumah Sakit
- Nomor antrean saat melakukan tes
- Nomor referensi
- Alamat dan jadwal home visit
- Jenis tes (PCR, rapid antigen, dll), tanggal, dan tempat
- Hasil tes dan tanggal dikeluarkan
- ID dokumen e-HAC
Sementara itu, data lainnya seperti Nomor Rekam Medis/Unit Records Number (URN) yang memuat data nama penumpang, nomor ID URN, dan nomor ID Rumah Sakit. Disebutkan pula terdapat 226 rumah sakit dan klinik di Indonesia yang data terekspose.
Adapun cakupan data yang terekspose adalah:
- Profil Rumah Sakit (ID, nama, nomor lisensi, alamat lengkap dengan koordinat)
- Kontak Rumah Sakit, termasuk nomor WhatsApp dan jam buka
- Nama penanggung jawab penumpang
- Nama dokter penumpang
- Kapasitas Rumah Sakit
- Jenis tes yang dilakukan Rumah Sakit
- jumlah tes harian
Kemudian, data penumpang yang diduga bocor adalah:
- Data pribadi mulai dari nomor KTP, nama lengkap, nomor ponsel, pekerjaan, gender, dan sebagainya.
- Paspor dan foto profil yang dipasang di akun e-HAC
- Hotel tempat penumpang menginap
- Data orang tua atau kerabat dekat penumpang
- Foto ID penumpang tambahan
- Rincian akun e-HAC dan kapan akun dibuat
Kemudian untuk data staff e-HAC yang bocor adalah:
- Nomor ID
- Nama
- Username akun e-HAC
- alamat email
- Password
- waktu pembuatan akun e-HAC