Pembobolan eHac Dilakukan vpnMentor: Kami Sudah Lapor ke Kemenkes, Tapi Tak Direspon

SuaraKaltim.id - Pembobolan aplikasi eHac milik Kementerian Kesehatan (Kemenkes) terjadi. Dengan mudahnya para pembobol mengakses data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 milik Indonesia tersebut.

Para peneliti dari perusahaan keamanan siber vpnMentor mengungkapkan mereka lah yang berhasil membobol eHac. Noam Roten dan Ran Locar, dua peneliti dari vpnMentor itu mengatakan, aplikasi tersebut tak memiliki protokol perlindungan privasi yang layak. Hingga lebih dari sejuta data pengguna terekspos di sebuah open server.

"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kemenkes Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor, melansir dari Suara.com, Selasa (31/8/2021).

Namun sayang, Kemenkes tak merespon laporan tersebut. Mereka juga menghubungi Computer Emergency Response Team Indonesia dan Google, sebagai penyedia hosting eHAC.

Baca Juga: Kemenkes: Baru 3,48 Persen Industri Alat Kesehatan yang Penuhi TKDN

"Sampai Agustus, kami tidak menerima jawaban dari semua pihak terkait. Kami mencoba menghubungi lembaga pemerintah lainnya, salah satu di antaranya adalah BSSN. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudia, pada 24 Agustus, server tersebut dimatikan," jelasnya.

Dalam laporannya vpnMentor mengatakan, orang yang membuat eHAC telah menggunakan database Elastisearch yang tidak aman. Untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC.

Tak hanya data-data pribadi para pengguna, yang juga tak terlindungi dari aplikasi eHAC adalah informasi tentang rumah-rumah sakit juga para pejabat Indonesia yang menggunakan aplikasi itu.

Beberapa data-data yang terekspos adalah: nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.

"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," imbuhnya.

Baca Juga: Tegas! Jusuf Kalla Desak Pemerintah Tak Perumit Masyarakat Dapatkan Vaksin Covid-19

Peneliti dari vpnMentor mengatakan dengan data-data dari eHAC, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.

Peretas, misalnya, bisa berpura-pura menjadi dokter dan memilih korbannya dari 1,3 juta pengguna yang data pribadinya terekspos di server eHAC.

Selain itu peretas juga bisa mengubah data di platform eHAC. Semisal hasil tes Covid-19 pengguna, sehingga membuat penanganan Covid-19 di Indonesia menjadi terganggu.

Hingga berita ini ditayangkan, Suara.com masih berusaha untuk meminta konfirmasi dari Kemenkes, Kementerian Komunikasi dan Informatika (Kominfo), serta Badan Siber dan Sandi Negara (BSSN).