Rawan Diretas
Kepolisian Negara Republik Indonesia (Polri) ikut bergerak dengan melakukan penyelidikan atas dugaan kebocoran data diri pengguna pada aplikasi e-HAC.
Kepala Divisi Humas Polri Irjen Pol. Argo Yuwono ketika dikonfirmasi di Jakarta, Selasa (31/8/2021), menyebut, Polri memiliki Direktorat Tindak Pidana Siber yang dapat melakukan penyelidikan terkait dengan kebocoran data.
Sebelumnya, dikabarkan bahwa dugaan kebocoran data tersebut terjadi karena pembuat aplikasi menggunakan database Elasticsearch (mesin pencari berdasarkan perpustakaan Lucene) yang konon tidak memiliki tingkat keamanan yang rumit, sehingga mudah dan rawan diretas.
Database ini telah dinonaktifkan oleh BSSN sejak 24 Agustus 2021.
Kasus ini, menurut pakar keamanan siber Pratama Persadha, berpotensi meningkatkan ketidakpercayaan terhadap penanggulangan Covid-19 dan upaya vaksinasi. Apalagi, saat ini vaksinasi menjadikan aplikasi PeduliLindungi sebagai ujung tombak.
Hal itu tentunya menimbulkan kekhawatiran bagi masyarakat akan kebocoran data milik mereka meski memakai e-HAC lama. Bahkan, ada imbauan pengguna aplikasi versi lama dan belum terhubung dengan aplikasi pedulilindungi.id untuk menghapus akun dan aplikasi tersebut dari telepon seluler mereka.
Namun, menurut Pratama, tidak sekadar imbauan, tetapi Kemenkes perlu lakukan sejumlah hal, seperti amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk.
Selain itu, jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Selanjutnya, melakukan pengecekan secara berkala untuk semua sistem guna mendeteksi kerawanan.
Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure (aman) dan tidak ada implementasi enkripsi sehingga data yang diambil plain tidak diacak sama sekali.
Pemerintah sendiri lewat BSSN cukup cepat merespons setelah mendapatkan info dari tim vpnMentor dengan rekomendasi melakukan takedown pada server aplikasi.
Seharusnya saat pertama kali Kemenkes mendapatkan info tersebut langsung melakukan aksi, baik langsung mengontak BSSN atau langsung men-takedown sendiri.
Semestinya, lanjut Pratama, sejak awal bila aplikasi ini sudah tidak dipakai, aksesnya bisa dimatikan sehingga tidak mudah diekspos oleh pihak lain.
Hal lain yang tak kalah pentingnya adalah cepat merespons setiap informasi yang masuk. Di sisi lain, harus ada pengawasan terhadap pekerjaan pihak ketiga, kemudian melakukan pengetesan sistem informasi secara berkala.