JAKARTA - Pakar keamanan siber, Alfons Tanujaya, menyatakan sangat menyayangkan kebocoran data dari aplikasi Indonesia Health Alert Card atau eHAC yang digagas Kementerian Kesehatan Republik Indonesia (Kemenkes).
Menurut Alfons tidak banyak hal yang bisa dilakukan terkait hal ini, dan dia hanya meminta setiap orang yang pernah mendaftar di eHAC supaya waspada dari aksi kejahatan siber.
"Berdoa kepada Yang Maha Kuasa. Data sudah di tangan peretas tidak bisa apa-apa," kata Alfons saat dihubungi CNNIndonesia.com, Selasa (31/8).
"Kalau ada peretas jahat, mereka mengubah data hasil tes, bisa bayangkan kekacauan yang potensial terjadi di masa pandemi ini. Misal database orang positif diganti negatif atau sebaliknya," lanjut Alfons.
Kebocoran data itu diungkap oleh tim peneliti dari vpnMentor, Noam Rotem dan Ran Locar. Mereka menyatakan sudah menemukan kebocoran itu sejak 15 Juli lalu.
Noam dan Ran juga mengontak Kemenkes serta pihak-pihak terkait sejak 21 Juli tetapi tidak ada tanggapan. Laporan keduanya baru ditanggapi oleh Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus lalu.
Dua hari kemudian BSSN kemudian menonaktifkan peladen (server) eHAC versi lama.
"Menurut vpnMentor kebocoran data itu bisa mengancam individu seperti warga Indonesia atau asing karena data identitas mereka bisa disalahgunakan oleh peretas, seperti membobol akun rekening bank dan kartu kredit.
Selain itu, kebocoran data ini bisa memicu dan meningkatkan keraguan orang buat melakukan vaksinasi jika data mereka ternyata mudah bocor. Hal itu tentu bakal mempersulit upaya penanganan Covid-19 di dalam dan luar negeri.
Alfons juga menyatakan upaya kejahatan siber akibat kebocoran data tidak bisa dihindarkan dan hanya berpesan supaya orang-orang yang pernah mendaftar di eHAC versi lama tetap waspada.
"Asal sadar hal ini dan jangan digunakan untuk membuat kredensial. Serta berhati-hati dengan phishing/scam yang mengeksploitasi informasi yang bocor," kata Alfons.
Kepala Pusdatin Kemenkes, Anas Ma'ruf, dalam jumpa pers secara virtual menyatakan saat ini aplikasi eHAC versi baru sudah tergabung dengan Pedulilindungi.
Dia meminta orang-orang yang pernah mendaftar supaya menghapus aplikasi versi lama. Menurut Anas dugaan kebocoran data itu saat ini tengah diselidiki.
Menurut vpnMentor, mereka memperkirakan data eHAC yang bocor sebesar 2 Gigabyte. Jumlah data warga Indonesia dan warga asing yang menginstal eHAC dan bocor diperkirakan mencapai lebih dari 1,4 juta orang.
Sedangkan data eHAC yang terekspos saat ini mencapai 1,3 juta orang.
Tim vpnMentor bisa mengakses data eHAC karena aplikasi itu menggunakan database Elasticsearch yang disebut tidak dirancang buat penggunaan secara daring (URL). Mereka bisa mengakses data itu hanya melalui peramban dan dengan cara mengakali kategori pencarian di URL dengan indeks tunggal.
"Sebagai peretas yang punya etika, maka kami perlu memberitahu lembaga itu bahwa ada celah dari segi keamanan data secara daring. Kami menghubungi sejumlah pihak yang bertanggung jawab atas eHAC dan memberitahu mereka tentang bahaya itu dan mengusulkan cara buat mengamankan sistem mereka," kata vpnMentor.
"Etika ini membuat kami juga mempunyai punya pertanggungjawaban kepada masyarakat. Pengguna eHAC harus menyadari tentang kebocoran data yang mengungkap banyak data penting mereka. Tujuan kami melakukan proyek pemetaan itu adalah membuat internet lebih aman bagi kita semua. Kami tidak pernah menjual atau mengekspos informasi yang kami temukan dalam riset kami," lanjut vpnMentor.*
