TEMPO.CO, Jakarta - Data 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) dari Kementerian Kesehatan diduga telah bocor. Kebocoran ini diungkap oleh tim peneliti di vnpMentor's, Noam Rotem dan Ran Locar.

"Pengembang aplikasi gagal untuk menerapkan protokol keamanan data pribadi yang memadai dan membiarkan lebih dari 1 juta data pengguna terekspos," demikian tertulis dalam laporan vpnMentor pada Senin, 30 Agustus 2021.

Laporan ini dirilis dengan judul: Aplikasi Covid-19 Pemerintah Indonesia Tidak Sengaja Mengekspos Lebih dari 1 Juta Orang dalam Kebocoran Data Massal. Total kapasitas data yang bocor mencapai 2 GB.

eHAC adalah layanan khusus yang dikembangkan oleh Kementerian Kesehatan untuk pencegahan penyebaran Covid-19. Pengisian e-HAC diwajibkan bagi masyarakat Indonesia yang hendak melakukan perjalanan di dalam negeri maupun luar negeri.

Karena ini adalah aplikasi untuk perjalanan, maka data yang diduga bocor juga berkaitan dengan hal ini. Peneliti menyebut ada empat jenis data yang bocor yaitu Covid-19 Test Data, e-Hac Account Data, Individual Hospital Data, dan Passenger Personally identifiable information (PII) Data.

Pada Passenger PII Data misalnya, beberapa data yang bocor menyangkut identitas penumpang pesawat, nama lengkap, nomor HP, kewarganegaraan, gender, paspor berikut foto pribadi, bahkan hotel tempat penumpang pesawat menginap.
<!--more-->
Menurut peneliti, data-data ini mereka temukan pada 15 Juli 2021. Lalu, mereka menghubungi Kemenkes pada 21 Juli 2021. Setelah beberapa tidak ada respon, mereka pun menghubungi The Indonesia Computer Emergency Response Team (ID-CERT) hingga pihak Google.

Tapi, peneliti menyebut berbagai upaya untuk menghubungi sejumlah pihak ini tidak memperoleh jawaban. Sehingga, mereka mencoba menghubungi Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2022.

Menurut peneliti, mereka langsung memperoleh jawaban dari BSSN pada hari yang sama. Dua hari kemudian, pada 24 Agustus 2021, BSSN langsung menurun server tempat sumber kebocoran tersebut.

Hari ini, Selasa, 31 Agustus 2021, Kemenkes menggelar keterangan pers soal penggunaan eHAC melalui aplikasi PeduliLindungi. Kemenkes pun ikut merespons dugaan kebocoran data ini.

Kepala Biro Humas Kemenkes Widyawati Roko menyebut laporan ini baru dugaan kebocoran. "Sebuah insiden kebocoran baru 100 persen dikatakan bocor, jika sudah ada hasil audit digital forensik," kata dia.

Tempo juga mengkonfirmasi dugaan kebocoran pengguna eHAC ini kepada juru bicara Kementerian Komunikasi dan Informatika (Kominfo), Dedy Permadi. "Sedang kami investigasi," kata dia singkat.

Baca juga: Kemenkes: Dugaan Kebocoran Data Terjadi di eHAC Lama, Bukan di PeduliLindungi