flatnews

Aplikasi eHAC Kemenkes Bocor

e-HAC yang datanya terekspos ini seperti penjelasan dari Kemenkes adalah e-HAC yang berbeda yang saat ini dipakai di aplikasi PeduliLindungi...


e-HAC yang datanya terekspos ini seperti penjelasan dari Kemenkes adalah e-HAC yang berbeda yang saat ini dipakai di aplikasi PeduliLindungi. Menurut Kemenkes aplikasi e-HAC yang lama ini sudah tidak dipakai per 2 juli 2021. Namun meski begitu tetap ini disayangkan, karena ada satu juta lebih data masyarakat pribadi yang bisa terekspos.

Dari data tim vpnmentor, mereka menemukan database e-HAC ini pada 16 Juli 2021. Mereka mengecek terlebih dahulu kebenaran data ini. Lalu memberikan informasi ke Kemenkes pada 21 dan 26 Juli 2021 dan menghubungi Google sebagai hosting provider pada 25 Agustus 2021.

Karena tidak mendapatkan tanggapan, maka tim vpnmentor menghubungi BSSN pada 22 Agustus 2021. BSSN sendiri langsung merespon laporan tersebut dan bergerak ke Kemenkes.

Tim dari vpnmentor sendiri tidak menemukan kesulitan untuk mengekspos databse e-HAC karena tidak menemui protocol yang berarti dari developer aplikasi tersebut. Setelah tidak mendapatkan balasan dari Kemenkes, laporan vpnmentor ke BSSN ditanggapi langsung pada 22 Agustus dan pada 24 Agustus server e-HAC tersebut langsung di take down.

Data berjumlah 1,4 juta dari 1,3 juta user e-HAC. DAta beruapa nama, nama rumah sakit, alamat, hasil tes PCR, akun e-HAC, bahkan data detail tentang RS serta dokter yang melakukan perawatan atau memeriksa user e-HAC. Bahkan ada data hotel dimana menginap, nomor KTP dan passpor, email dan lainnya.

Kelengahan dari developer ini bisa mengakibatkan pemilik akun e-HAC bisa menjadi target profiling dan penipuan dengan modus covid terutama, seperti telemedicine palsu maupun semacamnya. 

Bagi pemerintah, jelas ini meningkatkan ketidakpercayaan terhadap proses penanggulangan covid dan usaha vaksinasi, apalagi saat ini vaksinasi menjadikan aplikasi pedulilindungi sebagai ujung tombak, jadi pasti ada kekhwatiran datanya juga bocor, meski memakai e-HAC yang berbeda sesuai penurutan Kemenkes.

Setidaknya ada beberapa hal yang harus dilakukan Kemenkes. Amankan server yang dipakai dan buat protokol akses ke sistem yang aman, sehingga tidak sembarang orang bisa masuk. Jangan biarkan sistem yang tidak ada authentication bebas diakses di internet. Lakukan pengecekan secara berkala, untuk semua sistem yang dimiliki, untuk mendeteksi kerawanan.

Salah satu yang harus diimplementasikan juga adalah enkripsi. Dalam kasus ini seperti sistem e-HAC bisa bebas dimasuki dan diambil datanya karena benar-benar tidak secure dan tidak ada implementasi enkripsi, sehingga data yang diambil plain tidak diacak sama sekali.

Pemerintah sendiri lewat BSSN cukup cepat melakukan respon setelah mendapatkan info dari tim vpnmentor, dengan rekomendasi melakukan takedown pada server aplikasi. Seharusnya saat pertama kali Kemenkes mendapatkan info tersebut, langsung melakukan aksi baik dengan kontak ke BSSN atau langsung mentakedown sendiri. 

Semoga ini menjadi pelajaran, untuk setiap informasi yang masuk bisa langsung direspon oleh Kementrian terkait. Serta harus ada pengawasan terhadap pekerjaan pihak ketiga dan juga secara berkala dilakukan pengetesan sistem informasi yang dimiliki.

Related

Nasional 121067628237598670

Posting Komentar

emo-but-icon

Hot in week

Recent

Comments

Random News

item