Mengurai Kebocoran Data Aplikasi e-Hac dan PeduliLindungi
8 min read
Kemkominfo akan terus melakukan investigasi untuk memastikan data-data yang tersimpan pada aplikasi e-Hac dan PeduliLindungi tetap aman. Kemkominfo juga akan melaksanakan fungsi-fungsi sesuai amanat dari UU ITE, PP PSTE, dan Permen Kominfo terkait tata kelola data
Oleh : Imam S Ahmad Bashori Al-Muhajir Moh Ardi
Editor: Munichatus Sa’adah SPsi
Tim Peneliti vpnMentor yang dipimpin Noam Rotem dan Ran Locar melaporkan adanya dugaan pelanggaran data dalam program eHAC atau electronic Health Alert Card yang dibuat pemerintah untuk mengatasi penyebaran Covid-19. Laporan tersebut dimuat laman resmi mereka di vpnMentor.com pada Senin, 30 Agustus 2021.
eHAC merupakan aplikasi ‘test and trace’ yang diperuntukkan orang-orang yang masuk ke Indonesia guna memastikan mereka tidak membawa virus ke dalam negeri.
Aplikasi ini diperkenalkan pada awal 2021 Kementerian Kesehatan atau Kemenkes Republik Indonesia.
“Namun, pengembang aplikasi gagal menerapkan protokol privasi data yang memadai dan membiarkan data lebih dari 1 juta orang terpapar di server terbuka,” tulis pihak vpnMentor.
Padahal aplikasi digunakan sebagai syarat wajib bagi setiap pendatang dari luar negeri yang masuk ke Indonesia baik warga negara Indonesia maupun orang asing, dan juga dibutuhkan untuk penerbangan domestik.
Aplikasi ini dapat menyimpan status kesehatan terkini pengguna, data Personally Identifiable Information (PII), detail kontak, hasil tes Covid-19, dan masih banyak lagi.
vpnMentor melaporkan, setidaknya dugaan kebocoran data ini telah terdeteksi sejak pertengahan Juli 2021.
Perusahaan keamanan siber ini lantas menghubungi Kemenkes RI pada 21 Juli 2021 dan tidak mendapat respons. vpnMentor kemudian memberitahu CERT Indonesia pada 22 Juli 2021, vpnMentor juga menghubungi ID SIRTI atau Indonesia Security Incident Response Team on Internet Infrastructure pada 16 Agustus 2021.
vpnMentor masih berusaha memberi tahu Kemenkes dan kembali menghubungi mereka pada 26 Juli 2021, sehari setelah melaporkan kepada Google sebagai penyedia hosting pada 25 Juli 2021.
Tak juga mendapat respons dari Kemenkes, vpnMentor akhirnya menghubungi Badan Siber dan Sandi Negara pada 22 Agustus 2021, dan mendapat tanggapan dari BSSN di hari tersebut, serta ditindaklanjuti pada 24 Agustus 2021.
“Memahami pelanggaran dan potensi dampaknya membutuhkan perhatian dan waktu yang cermat. Kami bekerja keras untuk menerbitkan laporan yang akurat dan dapat dipercaya, memastikan semua orang yang membacanya memahami keseriusan (masalah) mereka,” tulis pihak vpnMentor.
Tim peneliti vpnMentor menemukan catatan eHAC tanpa perlindungan karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan tersebut asli, vpnMentor menghubungi Kemenkes dan mempresentasikan temuannya.
“Setelah beberapa hari tanpa jawaban dari kementerian, kami menghubungi agensi CERT Indonesia dan, akhirnya, (kami menghubungi) Google penyedia hosting eHAC”, ungkap pihak vpnMentor.
Meski telah dihubungi sebanyak dua kali, hingga awal Agustus, vpnMentor belum juga menerima respons dari Kemenkes. Menanggapi masalah serius ini, vpnMentor kemudian berupaya menjangkau instansi pemerintahan lainnya seperti BSSN.
“Kami menghubungi mereka pada tanggal 22 Agustus dan mereka menjawab pada hari yang sama. Dua hari kemudian, pada 24 Agustus, server dimatikan,” tulis pihak vpnMentor.
Pemerintah meminta masyarakat untuk menghapus, menghilangkan atau uninstall eHAC yang lama
Hapus, hilangkan dan Uninstall
Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Mas’ruf kemudian mengimbau masyarakat untuk menghapus aplikasi eHAC yang lama, dan mengunduh aplikasi PeduliLindungi.
“Pemerintah meminta masyarakat untuk menghapus, menghilangkan atau uninstall eHAC yang lama”, kata Anas dalam konferensi pers, Selasa, 31 Agustus 2021.
Anas menyampaikan bahwa aplikasi eHAC yang lama, kini telah dinonaktifkan sehubungan adanya dugaan kebocoran data tersebut.
Pemerintah saat ini tengah melakukan audit forensik untuk memastikan ada atau tidak kebocoran data pengguna eHAC.
Aplikasi eHAC yang lama memang sudah tidak digunakan sejak 2 Juli 2021, namun baru dinonaktifkan pada 24 Agustus 2021 lalu.
Kebijakan tersebut sesuai dengan surat edaran dari Menteri Kesehatan nomor HK.02.01.Menkes/847/2021 tentang digitalisasi dokumen kesehatan bagi pengguna transportasi udara yang terintegrasi dengan PeduliLindungi.
Jadi tidak serta merta semua kebocoran data itu dikaitkan dengan platformnya, pada kasus ini aplikasi PeduliLindungi
Tidak Ada Kebocoran Data
Menteri Kominfo meluruskan isu mengenai dugaan kebocoran data pribadi pengguna aplikasi e-Hac dan data vaksin Presiden Joko Widodo dari aplikasi PeduliLindungi. Dalam sepekan terakhir masyarakat diresahkan oleh isu kebocoran data yang berkaitan dengan penanganan Covid-19.
“Sesuai konfirmasi dari Kementerian Kesehatan, aplikasi e-Hac dan data vaksin Presiden Jokowi yang ada di PeduliLindungi tidak bocor. Sehingga pada kesempatan ini dapat membantu meluruskan berita tersebut,” tegas Menteri Kominfo Johnny G. Plate, dalam acara Ngobrol Tempo dengan tema Menuju Kepastian Data Pribadi Aman Bertransaksi di Era Digital, Rabu (08/09/2021).
Namun Kemkominfo akan terus melakukan investigasi untuk memastikan data-data yang tersimpan pada aplikasi e-Hac dan PeduliLindungi tetap aman. Kemkominfo juga akan melaksanakan fungsi-fungsi sesuai amanat dari UU ITE, PP PSTE, dan Permen Kominfo terkait tata kelola data.
“Pada kesempatan ini saya juga ingin menyampaikan, aplikasi e-Hac yang sebelumnya dipakai sudah tidak digunakan lagi. Oleh karenanya meski tidak diharuskan oleh undang-undang, kami berharap aplikasi tersebut ditutup dan datanya tidak dipergunakan kembali”, terang Menkominfo.
Hal kedua berkaitan dengan data pribadi Presiden Joko Widodo, ia mengonfirmasi bahwa tidak ada kebocoran data pada aplikasi PeduliLindungi. Data presiden berupa NIK dan data-data pribadi lainnya sudah menjadi public domain information saat mengikuti Pilpres, sesuai amanat undang-undang.
“Data-data public domain information tersebut ada di KPU, dari data itu digunakan untuk mengakses sertifikat vaksin Presiden Joko Widodo. Jadi bukan aplikasi PeduliLindungi yang mengalami kebocoran,” jelas Menkominfo.
Ia juga menyampaikan, akibat penyalahgunaan data-data publik tersebut, KPU telah menutup akses atas data pribadi pejabat-pejabat penting.
“Jadi tidak serta merta semua kebocoran data itu dikaitkan dengan platformnya, pada kasus ini aplikasi PeduliLindungi. Terlebih aplikasi PeduliLindungi saat ini memberikan kemudahan bagi masyarakat dalam melakukan aktivitas dengan tetap terlindungi dari Covid-19,” tandasnya.
Menteri Johnny juga menyampaikan akibat begitu banyaknya serangan siber, saat ini pemerintah sedang membentuk satuan tugas yang terdiri dari Kemkominfo, Kemenkes, BSSN, dan Telkom untuk melaksanakan tata kelola terhadap aplikasi PeduliLindungi. Satgas tersebut akan bekerja 24/7 untuk menanggulangi dan mengatasi serangan-serangan siber tersebut.
“Perekonomian dunia yang telah mengalami pemulihan perlu didukung oleh tata kelola yang baik, khususnya yang berkaitan dengan penyelenggaraan sistem elektronik,” pesannya.
Sejak tahun 2019 hingga 31 agustus 2021 lalu, Kemkominfo telah menangani dugaan kebocoran data terhadap 36 penyelenggara sistem elektronik (PSE) untuk menjaga data masyarakat. Dari jumlah tersebut, 31 kasus tekah selesai dilakukan investigasi.
Dari 31 kasus yang telah dilakukan investigasi ada 4 PSE dikenai sanksi teguran tertulis, 18 PSE diberikan rekomendasi teknis peningkatan tata kelola data dan sistem elektronik, dan 9 PSE lainnya sedang dalam proses pengambil kepuusan akhir terkait pemberian sanksi.
“Tentu ada tingkatan-tingkatan sanksi, tingkatan yang paling tinggi ialah pemutusan akses. Penanganan-penanganan tersebut merupakan wujud amanat peraturan perundang-undangan sekaligus pelindungan negara terhadap hak warga negaranya,” pungkas Menkominfo.
Hasil penyelidikan yang dilakukan oleh Siber Polri terhadap Kementerian Kesehatan dan mitra bahwa tidak ditemukan upaya pengambilan data pada server e-HAC
Tak Ada Upaya Pengambilan Data
Mabes Polri menghentikan penyelidikan dugaan kebocoran data data kependudukan melalui aplikasi Electronic Health Alert Card (eHAC).
“Hasil penyelidikan yang dilakukan oleh Siber Polri terhadap Kementerian Kesehatan dan mitra bahwa tidak ditemukan upaya pengambilan data pada server e-HAC,” ujar Kepala Divisi Hubungan Masyarakat Mabes Polri Inspektur Jenderal Argo Yuwono saat dihubungi pada Selasa, 7 September 2021.
Sebelumnya, Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Mas’ruf sudah menegaskan data masyarakat yang ada di sistem e-HAC tidak bocor.
Laporan adanya kerentanan sistem dari VPN Mentor adalah bagian dari proses trade information sharing
Trade information sharing
Juru Bicara Badan Siber dan Sandi Negara (BSSN) Anton Setiyawan mengatakan yang terjadi bukan kebocoran data. Laporan adanya kerentanan sistem dari VPN Mentor adalah bagian dari proses trade information sharing. Dalam proses itu, pihak-pihak yang mempunyai peduli terhadap keamanan siber biasa saling bertukar informasi.
“Alhamdulillah, kami mendapat informasi yang sangat baik dari teman-teman di VPN Mentor dan kemudian kita bisa memverifikasi dan ternyata teman-teman di Kemenkes bisa menindaklajuti terhadap informasi kerentanan tersebut,” kata Anton.
Mana tanggung jawabnya kalian sebagai pengumpul data pribadi lebih dari sejuta pengunduh eHAC?
Tanggung Jawab Pemerintah
Pemerintah mendapat kritik tajam dari sejumlah pengamat terkait kasus bocor data 1,3 juta data pengguna Electronic Health Alert Card (eHAC) Kementerian Kesehatan (Kemenkes).
Menurut mereka, Kemenkes tidak melakukan pengamanan data yang layak terhadap data pribadi yang tersimpan di sistem informasi yang digunakan untuk menyelenggarakan eHAC.
Seruan permintaan tanggung jawab pemerintah ini seperti dilontarkan Direktur Eksekutif Southeast Asia Freedom of Expression Network (SAFEnet), Damar Juniarto.
“Mana tanggung jawabnya kalian sebagai pengumpul data pribadi lebih dari sejuta pengunduh eHAC?”, ujar Damar lewat akun Twitternya, Selasa(31/8/2021).
data tidak bisa dianggap enteng
Data bocor tak bisa dianggap enteng
Damar menyebut kasus kebocoran data tidak bisa dianggap enteng. Ia membandingkan dugaan kebocoran sekitar 1,3 juta data masyarakat Indonesia, dengan 600 ribu data pengguna Facebook yang diolah oleh lembaga konsultan Cambridge Analytica.
Data itu yang diolah Cambridge Analytica disebut menjadi salah satu faktor kemenangan Donald Trump dalam pemilihan presiden Amerika Serikat (AS) pada 2016 silam.
“Dengan data 600.000 pengguna Facebook, Cambridge Analytica ngubah wajah politik dalam pemilu AS 2016. Jangan lupa,” ujar Damar lewat akun Twitter.
semestinya pemerintah lebih hati-hati dalam memilih vendor untuk penyelenggaraan sistem informasi
Kemenkes tetap punya tanggung jawab
Pengamat keamanan siber Alfons Tanuwijaya menyebut semestinya pemerintah lebih hati-hati dalam memilih vendor untuk penyelenggaraan sistem informasi.
“Seharusnya pihak IT Kemenkes menyadari siapapun vendor yang mereka pilih, tanggung jawab terakhir tetap di tangan mereka kalau terjadi kebocoran data karena pemilik datanya adalah Kemenkes,” tuturnya saat dihubungi, Rabu (1/9).
Apa bedanya eHAC lama dgn eHAC baru, kalau mengelola database yah artinya bertanggungjawab mengamankannya
Rapor merah Kemenkes
Alfons pun memberikan sejumlah catatan terhadap Kemenkes.
- Pertama, Kemenkes tidak mengamankan data dan akses dengan benar sehingga bahkan akun adminnya bisa di ambil.
- Kedua, lantaran Kemenkes menyimpan database di internet.
“Itu saja sudah salah. Lalu santai saja simpan data di internet lalu tidak di enkripsi”, kecamnya.
Selain itu, catatan merah juga perlu diberikan kepada tim IT Kemenkes yang dikontak tapi tidak ada tanggapan sampai berminggu-minggu.
Demikian juga CERT Indonesia yang dihubungi dan diberi informasi tetapi tidak memberikan tanggapan sama sekali pada waktunya.
Ia pun menuntut agar pengembang eHAC lama dimintai penjelasan mengapa hal ini bisa terjadi.
“Semoga hal ini juga menjadi perhatian dan prioritas Pedulilindungi…Apa bedanya eHAC lama dgn eHAC baru, kalau mengelola database yah artinya bertanggungjawab mengamankannya”, tuturnya.
menduga bahwa kebocoran data datang dari rekanan pihak ketiga yang melakukan kerjasama pertukaran data dengan Kemenkes
Pemilik data ikut bertanggung jawab
Senada, pengamat keamanan siber Ruby Alamsyah pun menyebut meski data bocor dari pihak vendor, semestinya Kemenkes sebagai pemilik data ikut bertanggung jawab.
“Merujuk kepada peraturan terkait PSE, masing-masing punya tanggung jawab. Tapi, menurut hemat saya siapapun pihak yang digunakan oleh Kemenkes, kan data ownership awalnya adalah Kemenkes, sehingga tetap harus bertanggung jawab,” ujarnya saat dihubungi, Rabu (1/9)
“Logikanya gini, mana mungkin kita berkerjasama dengan pihak yang tidak komit?”, tuturnya.
Pihak Kemenkes sendiri enggan membuka identitas mitra atau vendor yang dituduh menjadi sumber kebocoran data tersebut
Namun, ketika ditanya terkait kemungkinan akibat kecerobohan pemilihan vendor dalam kasus ini, Ruby enggan berkomentar. Sebab, menurutnya pemilihan vendor mestinya dilakukan dengan pihak yang memang berkomitmen.
Ia malah menduga bahwa kebocoran data datang dari rekanan pihak ketiga yang melakukan kerjasama pertukaran data dengan Kemenkes.
Sebab, sebelumnya eHAC ini digunakan bekerjasama dengan bandara, stasiun, dan pelabuhan yang menjadi pintu keluar masuk transportasi warga.
“Kemungkinan besar, bukan vendor tapi pihak ketiga yang bertukar data”, jelasnya.
Pihak Kemenkes sendiri enggan membuka identitas mitra atau vendor yang dituduh menjadi sumber kebocoran data tersebut.
