Duh! Data Publik di Aplikasi eHAC Kemenkes Diduga Bocor

Jakarta - Para peneliti vpnMentor menemukan kebocoran data dari aplikasi tes dan telusur COVID-19 atau Kartu Waspada Elektronik yang dibuat Kementerian Kesehatan (Kemenkes), yaitu Electronic Health Alert Card atau eHAC.

Dilansir dari ZDNet, tim peneliti vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar, mengatakan eHAC tidak memiliki privasi dan protokol keamanan data yang mumpuni yang mengakibatkan data pribadi lebih dari satu juta pengguna melalui server terekspos.

Aplikasi uji dan lacak eHAC dibuat oleh Kemenkes untuk melaporkan hasil tes COVID-19 bagi mereka yang bepergian ke Indonesia. Cara Ini merupakan persyaratan wajib bagi siapa pun yang terbang ke Indonesia dari negara lain. 

Baik orang asing maupun warga negara Indonesia harus mengunduh aplikasi, bahkan mereka yang bepergian di dalam negeri di dalam negeri. Aplikasi eHAC melacak status kesehatan seseorang, informasi pribadi, informasi kontak, hasil tes COVID-19, dan data lainnya.

Rotem dan Locar mengatakan tim mereka menemukan basis data yang terbuka, "sebagai bagian dari upaya yang lebih luas untuk mengurangi jumlah kebocoran data dari situs web dan aplikasi di seluruh dunia." 

"Tim kami menemukan catatan eHAC tanpa hambatan, karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami," ujar tim peneliti vpnMentor. 

"Setelah beberapa hari tidak ada jawaban dari kementerian, kami menghubungi lembaga Tim Tanggap Darurat Komputer Indonesia dan, akhirnya, Google sebagai penyedia hosting eHAC. Hingga awal Agustus, kami belum menerima jawaban dari pihak terkait. Kami mencoba menjangkau instansi pemerintah tambahan, salah satunya adalah BSSN (Badan Siber dan Sandi Negara) yang didirikan untuk melakukan kegiatan di bidang keamanan siber.Kami menghubungi mereka pada 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan." 

Dalam laporan mereka, para peneliti menjelaskan bahwa orang yang membuat eHAC menggunakan "database Elasticsearch tanpa jaminan untuk menyimpan lebih dari 1,4 juta catatan dari sekitar 1,3 juta pengguna eHAC."

Selain kebocoran data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat pemerintah yang menggunakan aplikasi tersebut. 

Data yang terlibat dalam kebocoran tersebut antara lain ID pengguna -- mulai dari paspor hingga nomor KTP nasional Indonesia -- data dan hasil tes COVID-19, ID rumah sakit, alamat, nomor telepon,  nama lengkap,  tanggal lahir, pekerjaan, dan foto.

Para peneliti juga menemukan data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang menjalankan tes, informasi tentang berapa banyak tes yang dilakukan setiap hari, dan data tentang jenis pelancong.

Data yang bocor bahkan memiliki informasi pribadi seperti orang tua atau kerabat wisatawan serta detail hotel mereka dan informasi lain tentang kapan akun eHAC dibuat.

Bahkan anggota staf eHAC memiliki nama, nomor ID, nama akun, alamat email, dan kata sandi yang bocor. 

"Seandainya data ditemukan oleh peretas jahat atau kriminal, dan dibiarkan mengakumulasi data pada lebih banyak orang, efeknya bisa menghancurkan pada tingkat individu dan masyarakat," kata para peneliti. 

"Sejumlah besar data yang dikumpulkan dan diekspos untuk setiap individu yang menggunakan eHAC membuat mereka sangat rentan terhadap berbagai serangan dan penipuan. Dengan akses ke informasi paspor seseorang, tanggal lahir, riwayat perjalanan, dan banyak lagi, peretas dapat menargetkan mereka di skema kompleks (dan sederhana) untuk mencuri identitas mereka, melacak mereka, menipu mereka secara langsung, dan menipu mereka ribuan dollar. Selain itu, jika data ini tidak cukup, peretas dapat menggunakannya untuk menargetkan korban dalam kampanye phishing melalui email, teks, atau panggilan telepon." 

Tim peneliti vpnMentor menggunakan "pemindai web skala besar" sebagai cara untuk mencari penyimpanan data tidak aman yang berisi informasi yang tidak boleh diekspos.

"Tim kami dapat mengakses database ini karena benar-benar tidak aman dan tidak terenkripsi. eHAC menggunakan database Elasticsearch, yang biasanya tidak dirancang untuk penggunaan URL," tambah para peneliti. 

"Namun, kami dapat mengaksesnya melalui browser dan memanipulasi kriteria pencarian URL untuk mengekspos skema dari satu indeks kapan saja. Setiap kali kami menemukan pelanggaran data, kami menggunakan teknik ahli untuk memverifikasi pemilik database, biasanya komersial bisnis." 

Laporan tersebut mencatat bahwa dengan semua data, akan mudah bagi peretas untuk berpura-pura sebagai pejabat kesehatan dan melakukan sejumlah penipuan pada 1,3 juta orang yang informasinya bocor. 

Peretas juga dapat mengubah data di platform eHAC, yang berpotensi menghambat respons COVID-19 negara tersebut.

Para peneliti mencatat bahwa mereka berhati-hati dalam menguji salah satu dari potensi serangan ini karena takut mengganggu upaya negara untuk menahan COVID-19, yang mungkin sudah dirusak oleh manajemen database yang serampangan oleh pemerintah.

Tim vpnMentor menambahkan bahwa jika ada peretasan atau serangan ransomware yang melibatkan basis data, hal itu dapat menyebabkan jenis ketidakpercayaan, informasi yang salah, dan teori konspirasi yang telah mendapat pijakan di lusinan negara. 

“Jika masyarakat Indonesia mengetahui bahwa pemerintah telah mengekspos lebih dari 1 juta orang untuk diserang dan ditipu melalui aplikasi yang dibuat untuk memerangi virus, mereka mungkin enggan untuk terlibat dalam upaya yang lebih luas untuk menahannya – termasuk upaya vaksin,” kata para peneliti. 

"Aktor jahat pasti akan mengeksploitasi kebocoran untuk keuntungan mereka, melompat pada frustrasi, ketakutan, atau kebingungan, menciptakan ketidakbenaran dan membesar-besarkan dampak kebocoran di luar semua proporsi yang wajar. Semua hasil ini dapat secara signifikan memperlambat perjuangan Indonesia melawan Coronavirus (dan informasi yang salah di umum) sambil memaksa mereka untuk menggunakan waktu dan sumber daya yang cukup besar untuk memperbaiki kekacauan mereka sendiri. Hasilnya adalah rasa sakit, penderitaan, dan potensi hilangnya nyawa lebih lanjut bagi masyarakat Indonesia.”

Para peneliti mengatakan para perancang sistem eHAC perlu mengamankan server, menerapkan aturan akses yang tepat dan memastikan untuk tidak pernah meninggalkan sistem, yang tidak memerlukan otentikasi, terbuka ke internet. 

Para peneliti mendesak mereka yang mungkin berpikir informasinya terpengaruh untuk menghubungi Kementerian Kesehatan Indonesia secara langsung untuk mengetahui langkah apa yang perlu diambil selanjutnya. 

eHAC jauh dari satu-satunya aplikasi terkait COVID-19 yang menghadapi masalah serupa. Sejak awal pandemi, munculnya aplikasi pelacakan kontak telah menimbulkan kekhawatiran di antara para peneliti yang telah berulang kali menunjukkan betapa salahnya alat ini. 

Baru minggu lalu, Microsoft menghadapi reaksi yang signifikan setelah Powerapps mereka ditemukan telah mengekspos 38 juta catatan online, termasuk catatan pelacakan kontak. 

Pada bulan Mei, informasi kesehatan pribadi milik puluhan ribu warga Pennsylvania terungkap setelah pelanggaran data di vendor Departemen Kesehatan. Departemen Kesehatan menuduh vendor mengekspos data 72.000 orang dengan sengaja mengabaikan protokol keamanan.