JAKARTA - Kasus kebocoran data kembali terjadi di Indonesia. Kali ini, aplikasi Indonesia Health Alert Card (eHAC) diduga bocor sehingga mengakibatkan 1,3 juta data pribadi pengguna aplikasi tersebut tersebar di internet. Kepercayaan warga pada pemerintah terancam turun.
Anggota Komisi IX DPR RI Netty Prasetiyani menilai adanya dugaan kebocoran data pada aplikasi Electronic Health Alert (e-HAC) Kementerian Kesehatan (Kemenkes) akan berdampak pada menurunnya kepercayaan masyarakat pada aplikasi sejenis yang dikeluarkan pemerintah.
https://radarbanyumas.co.id/polri-akan-sita-server-bpjs-kesehatan-kasus-279-juta-data-bocor/
"Dugaan kebocoran data dapat menurunkan kepercayaan masyarakat terhadap aplikasi besutan pemerintah. Rakyat dipaksa secara administratif untuk menggunakan aplikasi tertentu, tapi keamanan data mereka tidak dijamin oleh pemerintah," ujar Netty kepada wartawan, Rabu (1/9).
Netty juga mempertanyakan keamanan data di dalam aplikasi pedulilindungi yang menjadi syarat melakukan perjalanan selama PPKM.
"Bagaimana kemananan data di aplikasi pedulilindungi? Apakah ada jaminan data tidak bocor? Pemerintah harus memberikan bukti adanya jaminan keamanan, bukan cuma janji-janji. Jangan salahkan jika rakyat curiga dan enggan menggunakan aplikasi pedulilindungi," katanya.
"Jika rakyat enggan berpartisipasi mengisi data maka upaya pemantauan mobilitas masyarakat untuk mengendalikan penularan kasus akan semakin sulit dilakukan. Begitu juga terkait dengan pantauan orang sudah tervaksin atau belum," tambahnya.
Oleh karena itu, Netty meminta pemerintah agar menyelesaikan kasus tersebut dan melakukan evaluasi terhadap sistem aplikasi data secara menyeluruh.
"Kebocoran data rakyat sudah terjadi beberapa kali. Sejak 2020 kita mendengar tentang kebocoran data BPJS, data NIK, data nomor handphone dan data lainnya. Mengapa bisa terjadi berulang? Apakah pemerintah tidak belajar dari pengalaman? Jangan-jangan selama ini pemerintah memang ‘cuek bebek’ saja dengan kegelisahan rakyat soal jaminan kemanan data," ungkapnya.
Sebagai bentuk pertanggungjawaban publik, kata Netty, seyogyanya pemerintah meminta maaf pada rakyat. ‘Akui kesalahan dan kelemahan manajemen tersebut serta meminta maaf lah pada rakyat. Perbaiki sistem dengan melibatkan tenaga expert yang mampu melindungi keamanan sistem aplikasi. Ada banyak anak bangsa yang cerdas dan pintar,” tuturnya.
Kepala Pusat Data dan Informasi Kementerian Kesehatan (Kemenkes) Anas Ma’ruf meminta masyarakat untuk menghapus atau uninstall aplikasi Electronic Health Alert (e-HAC) Kemenkes.
Imbauan tersebut disampaikan Kemenkes, setelah adanya dugaan kebocoran data pengguna di aplikasi e-HAC yang lama.
"Pemerintah meminta kepada masyarakat untuk menghapus atau men-delete atau uninstall aplikasi e-HAC yang lama, yang terpisah," kata Anas.
Anas mengatakan, pihaknya saat ini melakukan investigasi terkait dugaan kebocoran data di aplikasi e-HAC yang lama. Ia menduga data pengguna yang bocor terjadi di pihak mitra dan saat ini sudah diketahui pemerintah.
Dugaannya, kebocoran itu terjadi di pihak mitra. Namun, Anas tidak menjelaskan lebih lanjut mengenai dugaan dan siapa mitra yang dimaksud.
Dia hanya menegaskan bahwa kondisi tersebut telah diketahui pemerintah dan tengah ditindaklanjuti. Selain itu, dia memastikan, eHAC sudah dinonaktifkan sebagai langkah mitigasi.
”Yang melibatkan (Kementerian) Kominfo dan pihak berwajib terkait dengan amanat Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik,” ujarnya.
Dugaan kebocoran data itu, kata dia, terjadi di aplikasi eHAC lama. Aplikasi tersebut tidak digunakan sejak 2 Juli 2021 dan digantikan dengan aplikasi PeduliLindungi. Ketentuan itu sesuai dengan surat edaran Kemenkes No HK.02.01/MENKES/847/2021 yang mengatur digitalisasi dokumen kesehatan bagi pengguna transportasi udara yang terintegrasi dengan aplikasi PeduliLindungi. Lantaran tidak digunakan lagi, Anas meminta masyarakat untuk menghapus atau meng-uninstall aplikasi eHAC lama tersebut.
Kendati begitu, tetap ada eHAC dengan versi baru di aplikasi PeduliLindungi. Namun, Anas memastikan tidak ada data yang terintegrasi antara eHAC lama dan eHAC PeduliLindungi. Sebab, sistemnya berbeda. Infrastruktur juga beda. Begitu pula penyimpanan datanya yang berbeda.
"Jadi, dugaan kebocoran ini tidak terkait aplikasi eHAC di PeduliLindungi," ungkapnya.
Dia memastikan bahwa data eHAC di PeduliLindungi terjamin keamanannya. Sebab, berada di pusat data nasional yang pengamanannya didukung kementerian dan lembaga terkait. Misalnya, Kementerian Kominfo serta Badan Siber dan Sandi Negara (BSSN). Data tersimpan dengan aman karena satu paket dengan sistem informasi pengendalian Covid-19.
Sementara itu, Polri bergerak untuk mengetahui siapa di balik kebocoran data tersebut. Kadivhumas Polri Irjen Argo Yuwono menjelaskan, saat ini Polri membantu penyelidikan kasus tersebut. Perkara kebocoran data itu saat ini ditangani Direktorat Tindak Pidana Siber (Dittipid Siber).
Sementara itu, menurut Chairman Communication & Information System Security Research (CISSReC) Pratama Persadha, aplikasi eHAC memang minim dalam hal keamanan. ’’Ada, tapi sangat standar. Default gitu,” jelas Pratama kepada Jawa Pos kemarin.
Pratama menuturkan, tim riset keamanan siber dari vpnMentor sebelumnya telah melaporkan bahwa mereka menemukan database e-HAC itu pada 16 Juli 2021. Mereka mengecek terlebih dahulu kebenaran data tersebut. Lalu, memberikan informasi kepada Kemenkes pada 21 dan 26 Juli 2021. Juga menghubungi Google sebagai hosting provider pada 25 Agustus 2021.
”Karena tidak mendapatkan tanggapan, tim vpnMentor menghubungi BSSN pada 22 Agustus 2021. BSSN sendiri langsung merespons laporan tersebut dan bergerak ke Kemenkes,” jelas Pratama.
Tim dari vpnMentor tidak menemukan kesulitan untuk mengekspos database e-HAC karena tidak menemui protokol keamanan yang berarti dari developer aplikasi tersebut. Setelah tidak mendapatkan balasan dari Kemenkes, laporan vpnMentor ke BSSN ditanggapi langsung pada 22 Agustus dan pada 24 Agustus server e-HAC tersebut langsung di-take down.
Data-data yang ditemukan, misalnya, berupa nama, nama rumah sakit, alamat, hasil tes PCR, dan akun e-HAC. Bahkan, data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa user e-HAC juga ada.
”Bahkan ada data hotel di mana menginap, nomor KTP dan paspor, e-mail dan lainnya,” jelasnya.
Kelengahan dari developer, kata Pratama, bisa mengakibatkan pemilik akun e-HAC menjadi target profiling dan penipuan dengan modus Covid. Seperti telemedicine palsu maupun semacamnya. (jpc)