batampos.co.id – Dugaan kebocoran data pribadi kembali terjadi. Kali ini, aplikasi Indonesia Health Alert Card (eHAC) diduga bocor sehingga mengakibatkan 1,3 juta data pribadi pengguna aplikasi tersebut tersebar di internet.

Kepala Pusat Data dan Informasi Kemenkes Anas Ma’ruf menuturkan, pemerintah melakukan investigasi untuk menelusuri lebih lanjut informasi kebocoran tersebut. Dugaannya, kebocoran itu terjadi di pihak mitra.

Namun, Anas tidak menjelaskan lebih lanjut mengenai dugaan dan siapa mitra yang dimaksud.

Dia hanya menegaskan bahwa kondisi tersebut telah diketahui pemerintah dan tengah ditindaklanjuti. Selain itu, dia memastikan, eHAC sudah dinonaktifkan sebagai langkah mitigasi.

”Yang melibatkan (Kementerian) Kominfo dan pihak berwajib terkait dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,” ujarnya dalam temu media kemarin (31/8).

Dugaan kebocoran data itu, kata dia, terjadi di aplikasi eHAC lama. Aplikasi tersebut tidak digunakan sejak 2 Juli 2021 dan digantikan dengan aplikasi PeduliLindungi. Ketentuan itu sesuai dengan surat edaran Kemenkes No HK.02.01/MENKES/847/2021 yang mengatur digitalisasi dokumen kesehatan bagi pengguna transportasi udara yang terintegrasi dengan aplikasi PeduliLindungi.

Lantaran tidak digunakan lagi, Anas meminta masyarakat untuk menghapus atau meng-uninstal aplikasi eHAC lama tersebut. Kendati begitu, tetap ada eHAC dengan versi baru di aplikasi PeduliLindungi.

Namun, Anas memastikan tidak ada data yang terintegrasi antara eHAC lama dan eHAC PeduliLindungi. Sebab, sistemnya berbeda. Infrastruktur juga beda. Begitu pula penyimpanan datanya yang berbeda. ”Jadi, dugaan kebocoran ini tidak terkait aplikasi eHAC di PeduliLindungi,” ungkapnya.

Dia memastikan bahwa data eHAC di PeduliLindungi terjamin keamanannya. Sebab, berada di pusat data nasional yang pengamanannya didukung kementerian dan lembaga terkait. Misalnya, Kementerian Kominfo serta Badan Siber dan Sandi Negara (BSSN). Data tersimpan dengan aman karena satu paket dengan sistem informasi pengendalian Covid-19.

Sementara itu, Polri bergerak untuk mengetahui siapa di balik kebocoran data tersebut. Kadivhumas Polri Irjen Argo Yuwono menjelaskan, saat ini Polri membantu penyelidikan kasus tersebut. Perkara kebocoran data itu saat ini ditangani Direktorat Tindak Pidana Siber (Dittipid Siber).

Sementara itu, menurut Chairman Communication & Information System Security Research (CISSReC) Pratama Persadha, aplikasi eHAC memang minim dalam hal keamanan. ’’Ada, tapi sangat standar. Default gitu,” jelas Pratama kepada Jawa Pos kemarin.

Pratama menuturkan, tim riset keamanan siber dari vpnMentor sebelumnya telah melaporkan bahwa mereka menemukan database e-HAC itu pada 16 Juli 2021. Mereka mengecek terlebih dahulu kebenaran data tersebut. Lalu, memberikan informasi kepada Kemenkes pada 21 dan 26 Juli 2021. Juga menghubungi Google sebagai hosting provider pada 25 Agustus 2021.

”Karena tidak mendapatkan tanggapan, tim vpnMentor menghubungi BSSN pada 22 Agustus 2021. BSSN sendiri langsung merespons laporan tersebut dan bergerak ke Kemenkes,” jelas Pratama.

Tim dari vpnMentor tidak menemukan kesulitan untuk mengekspos database e-HAC karena tidak menemui protokol keamanan yang berarti dari developer aplikasi tersebut. Setelah tidak mendapatkan balasan dari Kemenkes, laporan vpnMentor ke BSSN ditanggapi langsung pada 22 Agustus dan pada 24 Agustus server e-HAC tersebut langsung di-take down.

Data-data yang ditemukan, misalnya, berupa nama, nama rumah sakit, alamat, hasil tes PCR, dan akun e-HAC. Bahkan, data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa user e-HAC juga ada. ”Bahkan ada data hotel di mana menginap, nomor KTP dan paspor, e-mail dan lainnya,” jelasnya.(jpg)