Peniliti Ungkap eHAC Mudah Diretas, 1,3 Juta Data Pengguna Diduga Bocor

Suara.com - Peneliti menemukan adanya kebocoran 1,3 juta data pengguna aplikasi uji dan lacak milik Kementerian Kesehatan RI, eHAC.

Menyadur ZDNet Selasa (31/8/2021), para peneliti vpnMentor menemukan adanya kebocoran data pengguna aplikasi eHAC.

Aplikasi bernama Electronic Health Alert Card (eHAC) dibuat pada tahun 2021 oleh Kementerian Kesehatan Indonesia.

Aplikasi ini dibuat untuk melacak hasil tes setiap orang yang bepergian ke Indonesia untuk memastikan mereka tidak membawa virus Covid-19.

Bukan hanya turis asing, warga Indonesia yang hendak bepergian antar daerah juga diwajibkan mengunduh dan mengisi formulir yang ada di aplikasi tersebut.

Namun, baru-baru ini tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar menemukan jika aplikasi tersebut tidak memiliki privasi data yang tepat.

"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," jelas tim peneliti vpnMentor.

Aplikasi eHAC melacak status kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes Covid-19, dan data lainnya.

Setelah menemukan kejanggalan tersebut tim vpnMentor mengaku sudah menghubungi Kemenkes RI namun tidak mendapatkan balasan.

Baca Juga: Rekor! 338 Warga Banten Positif Covid-19 Meninggal Dunia Dalam 1 Hari

"Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan, akhirnya, Google - penyedia hosting eHAC," jelasnya.

"Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber. Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan." sambungnya.

Tim peneliti vpnMentor juga mengungkapkan jika mereka dapat dengan mudah mengakses data pengguna aplikasi eHAC yang tidak boleh terekspos.

"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. eHAC menggunakan database Elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL," jelas para peneliti.

Dalam laporannya, para peneliti menjelaskan bahwa pembuat aplikasi eHAC menggunakan database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC.

Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC juga ikut terekspos. Data tersebut termasuk informasi pribadi tentang rumah sakit serta pejabat pemerintah yang menggunakan aplikasi tersebut.