BSSN Sebut Data Pengguna E-HAC dalam Aplikasi PeduliLindungi Aman

"Ya (masih aman dari kebocoran data), sudah dilakukan Information Technology Security Assesment (ITSA) oleh BSSN pada aplikasi PeduliLindungi," kata Anton saat dihubungi Kompas.com, Rabu (1/9/2021).

Anton menjelaskan, ITSA merupakan proses penilaian keamanan pada suatu sistem aplikasi untuk mencari celah kerentanan atau kerawanan yang mungkin timbul dan dapat digunakan oleh pihak lain untuk mengeksploitasi sistem tersebut.

Ia mengatakan, aspek yang dinilai mulai dari kode sumber, implementasi sistem, penerapan keamanan, dan mitigasi risiko.

"Hasilnya adalah rekomendasi perkuatan keamanan untuk sistem/aplikasi tersebut," ujarnya.

Sebagaimana diketahui, data pengguna aplikasi e-HAC yang dikembangkan Kementerian Kesehatan (Kemenkes) diduga bocor. Berdasarkan laporan dari VPNMentor, setidaknya ada 1,3 juta pengguna aplikasi e-HAC yang terdampak kebocoran data ini.

Aplikasi e-HAC merupakan Kartu Kewaspadaan Kesehatan versi modern dan menjadi salah satu persyaratan wajib bagi masyarakat ketika bepergian di dalam maupun luar negeri.

BSSN menerangkan kronologi mengenai kasus kebocoran data yang menimpa pengguna aplikasi e-HAC. Selengkapnya sebagai berikut:

• 22 Juli 2021, VPNMentor pihak yang memublikasikan informasi tersebut pada awalnya mengirimkan informasi tentang kebocoran data aplikasi e-HAC milik Kementerian Kesehatan ke Indonesia Computer Emergency Response Team (CERT.ID), tetapi tidak mendapat respons.

• 23 Agustus 2021 pukul 06.00 WIB, VPNMentor kembali mengirimkan laporan tersebut melalui e-mail ke ID-SIRTII (Indonesia Security Incident Response Team On Internet Infrastructure) dan bantuan70@bssn.go.id.

• Laporan yang dikirim VPNMentor kemudian direspons oleh Tim Tanggap Insiden BSSN pada 23 Agustus 2021 pukul 08.39 WIB, setelah memverifikasi informasinya.

• Pada hari yang sama (23 Agustus 2021), tim BSSN langsung berkoordinasi dengan pihak Kementerian Kesehatan untuk menindaklanjuti laporan ini.

• 24 Agustus 2021, Tim BSSN melakukan verifikasi dan mengonfirmasi kembali ke pihak Kementerian Kesehatan melalui laporan dengan Nomor 021/TI/SDE.824.1/N/2021.

• 25 Agustus 2021, Tim Kementerian Kesehatan menindaklanjuti laporan itu dengan mengatasi celah keamanan pada aplikasi e-HAC. Tim BSSN mengonfirmasi hal ini kepada pihak Kementerian Kesehatan pada 25 Agustus 2021 pukul 15.31 WIB.

Sebelum itu, disebutkan bahwa VPNMentor kali pertama menemukan database bocoran data pada 15 Juli, lalu menghubungi Kemenkes Indonesia pada 21 Juli 2021. VPNMentor kembali mengontak Kemenkes lima hari setelahnya, pada 26 Juli 2021.

Pada 24 Juli 2021, VPNMentor menginformasikan soal kebocoran data terkait kepada Google selaku hosting provider. Laporan ikut diberikan kepada Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII) pada 16 Agustus dan BSSN pada 22 Agustus.

Sementara itu, pada Selasa (31/8/2021), Kepala Pusat Data dan Informasi Kementerian Kesehatan (Kemenkes) Anas Ma'ruf membenarkan adanya dugaan kebocoran data pengguna di aplikasi Electronic Health Alert Card (e-HAC) Kemenkes.

Anas mengatakan, data pengguna yang bocor terjadi di aplikasi e-HAC yang lama, bukan pada e-HAC yang terintegrasi dengan aplikasi PeduliLindungi.

"Yang pertama, kebocoran data terjadi di aplikasi e-HAC yang lama yang sudah tidak digunakan lagi sejak Juli 2021, tepatnya 2 Juli 2021," kata Anas dalam konferensi pers melalui kanal YouTube Kemenkes RI.

Anas juga mengatakan, saat ini, pihaknya bersama Kementerian Komunikasi dan Informatika (Kemkominfo) tengah melakukan investigasi terkait kebocoran data pengguna e-HAC yang lama.

Ia menduga kebocoran data pengguna terdapat di pihak mitra dan saat ini tengah dilakukan pencegahan.