GELORA.CO - Kasus kebocoran data kembali menjadi ruang-ruang diskusi hangat jagat maya. Sebelumnya, publik dihebohkan dengan bocornya data 279 juta penduduk Indonesia dari BPJS Kesehatan, data nasabah perusahaan asuransi BRI Life, kini data publik pada aplikasi Electronic Health Alert Card (eHAC) yang digarap Kementerian Kesehatan jadi sorotan rentan kebocoran.
Ihwal kebocoran data eHAC itu berawal temuan tim peneliti vpnMentor Noam Rotem dan Ran Locar, yang menemukan kerentanan data dalam program eHAC yang dibuat pemerintah Indonesia untuk mengatasi penyebaran pandemi COVID-19.
eHAC merupakan aplikasi yang dibangun Kemenkes RI tahun 2021 sebagai aplikasi 'test and trace' bagi orang-orang yang masuk ke Indonesia atau suatu daerah untuk memastikan mereka tidak membawa virus ke Indonesia atau suatu daerah.
Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan 1,4 juta database (1,3 jutanya adalah data pribadi) terekspos di dalam server. Tim vpnMentor dapat mengakses database eHAC dengan mudah karena benar-benar tidak aman dan tidak terenkripsi.
Menurut vpnMentor, eHAC menggunakan database elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL. Namun, peneliti vpnMentor dapat mengaksesnya melalui browser dan memanipulasi kriteria pencarian URL untuk mengekspos 2 Gb database dalam eHAC.
Peneliti vpnMentor menggunakan pemindai web skala besar untuk mencari penyimpanan data tidak aman yang berisi informasi yang tidak boleh diekspos. Mereka kemudian memeriksa setiap penyimpanan data untuk setiap data yang bocor.
Kebocoran data itu meliputi data hasil tes COVID-19 penumpang (domestik/internasional) berikut tanggal, tempat dilaksanakan tes, alamat, ID dokumen eHAC; Data akun eHAC; Data dari 226 rumah sakit dan klinik di Indonesia; Data penumpang (Nomor ID, nama lengkap, nomor ponsel, DOB, pekerjaan kewarganegaraan, jenis kelamin, dll.); Data akun pengguna eHAC (nama, email, usename eHAC, password bawaan, tanggal pembuatan akun eHAC dan pembaruan)
"Sebagai peretas etis, kami berkewajiban memberi tahu perusahaan saat kami menemukan kelemahan dalam keamanan onlinenya. Kami menghubungi berbagai pihak yang bertanggung jawab atas eHAC untuk memberi tahu mereka tentang kerentanan dan menyarankan cara untuk mengamankan sistem mereka," tulis peneliti vpnMentor.
Peneliti vpnMentor diketahui sudah dua kali menghubungi Kemenkes, namun tidak mendapatkan balasan. Akhirnya mereka memilih untuk menginformasikan temuan tersebut kepada Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2021. BSSN langsung merespon cepat dengan menutup server tersebut per tanggal 24 Agustus 2021.
Sebagai informasi, vpnMentor merupakan situs ulasan VPN terbesar di dunia. Penelitian mereka adalah layanan pro bono yang berupaya membantu komunitas online mempertahankan diri dari ancaman dunia maya, dan mengkampanyekan tentang cara melindungi data penggunanya.
Etika itu ingin yang mereka klaim ingin dikampanyekan kepada publik. Seperti halnya pada aplikasi eHAC, para penggunanya harus waspada terhadap pelanggaran data yang mengekspos begitu banyak data sensitif mereka.
Dalam konferensi persnya, Rabu, 3 September 2021, Kepala Pusat Data dan Informasi Kementerian Kesehatan RI Anas Ma'ruf menegaskan data masyarakat yang ada di dalam sistem eHAC tidak bocor dan berada dalam perlindungan.
Sebelumnya Kemenkes menyebut dugaan kebocoran data ada pada aplikasi e-HAC lama yang sudah dinonaktifkan sejak tanggal 2 Juli 2021. Aplikasi e-HAC yang saat ini digunakan oleh masyarakat telah terintegrasi dengan Sistem informasi Satu Data Covid-19 PeduliLindungi yang terdapat pada Pusat Data Nasional yang dipastikan keamanannya, dan pengamanannya didukung oleh Kemenkominfo dan BSSN.
"Data masyarakat yang ada di dalam eHAC tidak mengalir ke platform mitra. Sedangkan data masyarakat yang ada di platform mitra adalah menjadi tanggung jawab penyelenggara sistem elektronik, sesuai dengan amanat UU Nomor 19 tahun 2016 tentang informasi elektronik atau UU ITE," kata Anas dalam konferensi pers daring.
Anas mengatakan Kementerian Kesehatan berterimakasih atas masukan dari pihak yang memberi informasi adanya kerentanan sehingga bisa ditindaklanjuti demi menghindari risiko keamanan siber yang lebih besar.
Sebagai bagian dari mitigasi risiko keamanan siber, Kemenkes berkoordinasi dengan Kementerian Komunikasi dan Informatika (Kominfo), BSSN juga Direktorat Tindak Pidana Bareskrim Polri untuk menyelidiki guna menelusuri dan memastikan tidak ada kerentanan lain yang bisa digunakan untuk mengeksploitasi sistem tersebut.
"Kementerian Kesehatan mengimbau masyarakat untuk menggunakan aplikasi PeduliLindungi di mana fitur e-HAC yang terbaru sudah terintegrasi di dalamnya," kata dia.
Juru bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiawan menegaskan data masyarakat yang ada di dalam sistem eHAC masih tersimpan dengan baik di tengah isu dugaan kebocoran 1,3 juta data pengguna aplikasi eHAC.
"Apa yang kita alami ini bukan terkait kebocoran data, ini adalah bagian dari proses, kalau di keamanan siber kita kenal sebagai threat information sharing," kata Anton di konferensi pers daring, Rabu.
Dia menjelaskan hal itu adalah pertukaran informasi di antara pihak-pihak yang punya izin terhadap keamanan siber. Pihaknya mendapatkan informasi kerentanan dari vpnMentor yang kemudian diverifikasi dan ditindaklanjuti.
"Data-data yang ada masih tetap tersimpan baik, informasi ini bagian dari mitigasi risiko untuk melakukan langkah pencegahan," ujar dia.
Anton mengakui ditemukan celah dalam sistem eHAC di mana muncul potensi kebocoran data, namun celah itu telah ditutup dan hingga saat ini Kementerian Kesehatan menyatakan belum ditemukan indikasi ke arah kebocoran data.
Secara teknis, kerentanan yang ditemukan disebut sebagai sensitive data exposure. Kerentanan menyasar kepada port tertentu yang diibaratkan seperti pintu dalam sistem elektronik. "Sistem elektronik bekerja pakai port, seperti pintu rumah, untuk bertransaksi data," katanya.
Port tersebut yang memiliki kerentanan. Seharusnya, data dalam port tidak bisa dimasuki pihak yang tidak berwenang. Anton mengatakan perbaikan sudah dilakukan agar port ditutup dan aksesnya terkendali.
Data kebocoran pada sistem eHAC yang dibeberkan vpnMentor |
Sudah Bobol
Sejatinya, vpnMentor bukan tim pertama yang menemukan celah atau kerentanan pada sistem eHAC. Menurut Pakar Keamanan Siber, Pratama Persadha, jika database itu bisa diakses oleh vpnMentor, artinya sistem eHAC bisa diakses oleh siapapun.
"Jadi vpnMentor yang melaporkan adanya kebocoran ini mereka dapat laporan dari hacker lain tanggal 15 Juli. Artinya sudah ada hacker lain yang masuk ke sistem eHAC dan mungkin sudah mengambil datanya," kata Pratama dalam perbicangan di tvOne, Minggu, 5 September 2021.
Seperti diketahui, vpnMentor mengakui telah melakukan tes masuk ke dalam sistem eHAC dan mereka berhasil membuktikannya dengan membeberkan sejumlah data dalam database eHAC. Pratama yakin vpnMentor bukan sekedar menginformasikan ada kerentanan pada sistem, tapi mereka juga sudah menarik semua database eHAC secara ilegal.
"Kita ingat mereka mengambil semua data di server data eHAC, mereka menarik semua datanya secara ilegal karena mereka enggak dapat izin, sehingga bisa didapatkan file yang jumlahnya 2 Gb, kemudian mereka bisa tahu record 1,4 juta data, diantaranya 1,3 juta data pribadi, kemudian mereka bisa tahu isi data yang terekspose," papar Pratama.
"Tidak mungkin mereka bisa tahu itu secara detil kalau mereka tidak mengambil semua data eHAC," sambung pria yang juga Chairman Lembaga Riset Keamanan Siber dan dan Komunikasi CISSReC itu
Selain itu, kata Pratama, para hacker umumnya memiliki komunitas yang apabila mereka menemuka ada celah pada suatu sistem pasti akan di-share ke komunintas mereka. Sama halnya dengan vpnMentor yang diduga mendapatkan informasi dari hacker lain yang satu komunitas.
"Kalau istilah bocor kan diakses secara ilegal oleh orang lain, nah ini sudah diakses ilegal sama orang lain, cuma belum disebarluaskan saja. Kalau dibilang tidak bocor, harusnya vpnMentor segera lapor ke BSSN, eh ada celah tolong diperbaiki, bukan di-download semuanya," kata mantan praktisi keamanan siber di Lembaga Sandi Negara.
Lebih jauh, mantan Ketua Tim Lemsaneg Cyber Defence Kementerian Pertahanan RI itu menganggap insiden kebocoran data pada sistem eHAC milik Kementerian Kesehatan menjadi bukti masih lemahnya perlindungan dan keamanan sistem yang menghimpun data masyarakat.
"Mereka (vpnMentor) lapor ke Kemenkes tangal 21 Juli tidak ditanggapi, lapor lagi tanggal 26 Juli tidak ditanggapi, lebih dari sebulan kemudian lapor ke BSSN baru ditanggapi. Itu artinya Kemenkes tidak memiliki kepedulian terhadap sistem yang mereka miliki termasuk sistem eHAC ini yang menyimpan data masyarakat," paparnya.
Juru Bicara Kemenkes RI, Siti Nadia Tarmizi mengatakan informasi soal kerentanan pada sistem eHAC ini sudah ditindaklanjuti dan diverifikasi oleh BSSN. Tim Kemenkes juga sudah melakukan penelusuran dan melakukan perbaikan terhadap kerentanan pada data sistem eHAC.
"Memang waktu Juli itu sudah dikatakan eHAC yang lama itu sudah tidak kita gunakan lagi. Kita sudah mengintegrasikan eHAC ini ke dalam sistem PeduliLindungi. Di dalam platform PeduliLindungi ini tentunya sudah dilakukan security assesment," kata Nadia.
Merujuk keterangan Juru Bicara BSSN Anton Setiawan, Nadia menegaskan bahwa apa yang terjadi ini bukan kebocoran data, tapi bagian dari proses threat information sharing. "Ada pihak-pihak yang konsen terhadap keamanan siber dan bertukar informasi. Saya kira sudah ada pihak-pihak yang menangani hal ini," ungkapnya.
Tim Bareskrim Polri juga tidak meneruskan proses penyelidikan dugaan kebocoran data 1,3 juta pengguna aplikasi eHAC Kementerian Kesehatan. Sebab, penyidik menganggap tidak ditemukan adanya upaya pembobolan data atas kebocoran tersebut.
"Penyelidikan tidak diteruskan," kata Kepala Divisi Humas Polri, Irjen Raden Prabowo Argo Yuwono saat dihubungi wartawan pada Selasa, 7 September 2021.
Menurut dia, Tim Direktorat Tindak Pidana Siber Bareskrim sudah melakukan penyelidikan dengan meminta klarifikasi terhadap Kementerian Kesehatan maupun mitranya Kementerian Kesehatan. Nah, dalam prosesnya tidak ditemukan upaya pembobolan data tersebut.
"Hasil penyelidikan yang dilakukan oleh Cyber Polri terhadap Kemenkes dan mitra Kemenkes, bahwa tidak ditemukan upaya pengambilan data pada server eHAC," ujarnya.[viva]