Informasi ini berawal dari laporan vpnMentor, situs yang fokus pada jaringan pribadi virtual atau virtual private network (VPN) ke Badan Siber dan Sandi Negara (BSSN).
Setelah menerima laporan, BSSN melakukan verifikasi, kemudian Kemenkes menelusuri dan menemukan kerentanan pada platform mitra e-HAC, lalu melakukan tindakan dan perbaikan terhadap sistem mitra.
Namun, respons dari Kemenkes ini dinilai lambat oleh Ketua Lembaga Riset Siber Indonesia CISSReC Dr. Pratama Persadha. Pasalnya, dugaan kebocoran data e-HAC (aplikasi untuk keperluan tracking dan tracing Covid-19), lambat dalam men-takedown (mencopot) server aplikasi e-HAC lama.
Server atau peladen baru di-takedown sebulan lebih sejak laporan pertama ke Kemenkes. Itu pun setelah pelapor dalam hal ini vpnMentor menghubungi BSSN.
Aplikasi e-HAC yang datanya terekspos ini, sebagaimana penjelasan dari Kemenkes, berbeda dengan e-HAC yang saat ini dipakai di aplikasi PeduliLindungi.
Menurut Kemenkes, aplikasi e-HAC yang lama ini sudah tidak dipakai per 2 Juli 2021. Kendati demikian, kata Pratama, kebocoran data ini tetap disayangkan karena ada 1,3 juta data pribadi masyarakat yang terekspos.
Dari data tim vpnMentor, mereka menemukan database e-HAC ini pada tanggal 16 Juli 2021. Tim lantas mengecek terlebih dahulu kebenaran data ini, kemudian memberikan informasi ke Kemenkes pada tanggal 21 dan 26 Juli 2021, lalu menghubungi Google sebagai hosting provider (tempat file website) pada tanggal 25 Agustus 2021.
Baca juga: Pakar nilai respons Kemenkes lambat terkait laporan kebocoran data
Baca juga: Kemenkes tegaskan data masyarakat dalam eHAC tidak bocor
Karena tidak mendapatkan tanggapan, tim vpnMentor menghubungi BSSN pada tanggal 22 Agustus 2021. Badan Siber dan Sandi Negara langsung merespons laporan tersebut dan bergerak ke Kemenkes.
Setelah tidak mendapatkan balasan dari Kemenkes, laporan vpnMentor ke BSSN ditanggapi langsung pada tanggal 22 Agustus, kemudian pada tanggal 24 Agustus server e-HAC tersebut langsung di-takedown.
Artinya, kata Pratama, ada waktu yang terbuang selama lebih dari sebulan karena mungkin ketidakmengertian dari sumber daya manusia (SDM) Kemenkes. Baru setelah laporan diterima BSSN, langsung dilakukan takedown.
Dijelaskan pula bahwa data yang bocor sebanyak 1,4 juta dan ada 1,3 juta user e-HAC. Data ini berupa nama, nama rumah sakit, alamat, hasil tes PCR, akun e-HAC, dan data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa pengguna e-HAC. Bahkan, ada data hotel pengguna, nomor KTP, nomor paspor, email, dan lainnya.
Kelengahan dari developer ini mengakibatkan pemilik akun e-HAC bisa menjadi target profiling dan penipuan dengan modus COVID-19, seperti telemedicine palsu. Pratama lantas mengingatkan bahwa hal ini sangat berbahaya.
Kemenkes berkoordinasi
Sebagai bagian dari mitigasi risiko keamanan siber, Kemenkes berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo), BSSN, dan Direktorat Tindak Pidana Bareskrim Polri guna memastikan tidak ada kerentanan lain yang berpotensi mengeksploitasi sistem tersebut.
Kemenkes melalui Kepala Pusat Data dan Informasi Kementerian Kesehatan RI Anas Ma'ruf, Rabu (1/9), mengimbau masyarakat untuk menggunakan aplikasi PeduliLindungi yang terdapat fitur e-HAC terbaru dan sudah terintegrasi di dalamnya.
Platform Pedulilindugi tersimpan di pusat data nasional. Dalam hal ini BSSN sudah melakukan penilaian keamanan teknologi informasi atau information technology security assessment (ITSA).
Dikutip dari laman BSSN, ITSA adalah layanan publik terkait dengan pengujian kerentanan, pemberian saran, dan rekomendasi terkait dengan pengamanan guna meminimalisasi celah kerawanan pada semua sistem informasi pemerintah.
Kepolisian Negara Republik Indonesia (Polri) ikut bergerak dengan melakukan penyelidikan atas dugaan kebocoran data diri pengguna pada aplikasi e-HAC.
Kepala Divisi Humas Polri Irjen Pol. Argo Yuwono ketika dikonfirmasi ANTARA di Jakarta, Selasa (31/8), menyebutkan Polri memiliki Direktorat Tindak Pidana Siber yang dapat melakukan penyelidikan terkait dengan kebocoran data.
Sebelumnya, dikabarkan bahwa dugaan kebocoran data tersebut terjadi karena pembuat aplikasi menggunakan database Elasticsearch (mesin pencari berdasarkan perpustakaan Lucene) yang konon tidak memiliki tingkat keamanan yang rumit sehingga mudah dan rawan diretas. Database ini telah dinonaktifkan oleh BSSN sejak 24 Agustus 2021.
Kasus ini, menurut pakar keamanan siber Pratama Persadha, berpotensi meningkatkan ketidakpercayaan terhadap penanggulangan COVID-19 dan usaha vaksinasi. Apalagi, saat ini vaksinasi menjadikan aplikasi PeduliLindungi sebagai ujung tombak.
Hal itu tentunya menimbulkan kekhawatiran bagi masyarakat akan kebocoran data milik mereka meski memakai e-HAC lama. Bahkan, ada imbauan pengguna aplikasi versi lama dan belum terhubung dengan aplikasi pedulilindungi.id untuk menghapus akun dan aplikasi tersebut dari telepon seluler mereka.
Baca juga: Polri bantu selidiki dugaan kebocoran data pengguna aplikasi eHAC
Baca juga: Kemenkes: Kebocoran data eHAC perlu pembuktian digital forensik
Namun, menurut Pratama, tidak sekadar imbauan, tetapi Kemenkes perlu lakukan sejumlah hal, seperti amankan server yang dipakai dan buat protokol akses ke sistem yang aman sehingga tidak sembarang orang bisa masuk.
Selain itu, jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Selanjutnya, melakukan pengecekan secara berkala untuk semua sistem guna mendeteksi kerawanan.
Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure (aman) dan tidak ada implementasi enkripsi sehingga data yang diambil plain tidak diacak sama sekali.
Pemerintah sendiri lewat BSSN cukup cepat merespons setelah mendapatkan info dari tim vpnMentor dengan rekomendasi melakukan takedown pada server aplikasi.
Seharusnya saat pertama kali Kemenkes mendapatkan info tersebut langsung melakukan aksi, baik langsung mengontak BSSN atau langsung men-takedown sendiri.
Semestinya, lanjut Pratama, sejak awal bila aplikasi ini sudah tidak dipakai, aksesnya bisa dimatikan sehingga tidak mudah diekspos oleh pihak lain.
Baca juga: Data 1,3 juta pengguna aplikasi eHAC Kemenkes diduga bocor
Hal lain yang tak kalah pentingnya adalah cepat merespons setiap informasi yang masuk. Di sisi lain, harus ada pengawasan terhadap pekerjaan pihak ketiga, kemudian melakukan pengetesan sistem informasi secara berkala.
Kasus ini menjadi pembelajaran bagi semua pihak, terutama lembaga negara untuk mengecek sistem informasi yang keberadaannya di bawah tanggung jawab mereka. Jadi, harus diinventarisasi dan dicek secara kontinu.
Pewarta: D.Dj. Kliwantoro
Editor: Chandra Hamdani Noor
Copyright © ANTARA 2021