vpnMentor Laporkan Keamanan Siber eHAC Sangat Lemah, Data Warga Hingga Pejabat Diretas

Suara.com - Keamanan siber milik pemerintah kembali diguncang usai seorang pakar keamanan siber mengungkap bahwa aplikasi eHac Kementerian kesehatan ternyata sangat rentan dibobol.

Para peneliti dari vpnMentor menyebut, data dari Kementerian Kesehatan itu berisi data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 di Tanah Air tersebut.

Dua peeliti vpnMentor, Noam Roten dan Ran Locar bahkan menyebut, aplikasi eHac tidak memiliki perlindungan perlindungan data yang baik dan data jutaan pengguna bisa diakses dengan mudah.

"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor.

Parahnya, Kementerian Kesehatan RI justru tidak merespon laporan dari vpnMentor. Mereka juga tidak menerima respon dari Computer Emergency Response Team Indonesia dan Google, sebagai penyedia hosting eHAC.

"Sampai Agustus, kami tidak menerima jawaban dari semua pihak terkait. Kami mencoba menghubungi lembaga pemerintah lainnya, salah satu di antaranya adalah BSSN. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudia, pada 24 Agustus, server tersebut dimatikan," tulis vpnMentor.

vpnMentor melaporkan adanya database Elastisearch yang tidak aman untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.

Tidak hanya data pribadi, data terkait rumah sakit dan pejabat RI juga terancam dimanfaatkan oleh pihak tidak bertanggung jawab.

Adapun data-data yang terekspos adalah: nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.

Baca Juga: 25 Rumah Sakit Terima Donasi Alkes, dari Oximeter Hingga Tabung Oksigen

"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," imbuh para peneliti.

Dengan data-data tersebut, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.

Peretas, misalnya, bisa berpura-pura menjadi dokter dan memilih korbannya dari 1,3 juta pengguna yang data pribadinya terekspos di server eHAC.

Selain itu pertas juga bisa mengubah data di platform eHAC, semisal hasil tes Covid-19 pengguna, sehingga membuat penanganan Covid-19 di Indonesia menjadi terganggu.

Terkait adanya kabar ini, Suara.com terus berusaha mengkonfirmasi Kementerian Kesehatan, Kementerian Komunikasi dan Informatika, serta BSSN.