Data eHAC Diduga Bocor, Tiga Hal Ini Berpotensi Jadi Penyebabnya 

eHAC adalah aplikasi untuk memverifikasi data penumpang yang akan melakukan perjalanan selama pandemi Covid-19. 

IDXChannel - VPN Mentor menyebutkan adanya kebocoran data dalam aplikasi Electronic Helath Alert Card atau eHAC. eHAC adalah aplikasi untuk memverifikasi data penumpang yang akan melakukan perjalanan selama pandemi Covid-19. 

Sebagai 'ethical hacker', peneliti VPN Mentor kemudian melaporkan kejadian tersebut ke Kementerian Kesehatan (Kemenkes). Sayangnya, tidak mendapatkan respons. Sampai akhirnya tindak lanjut dilakukan sebulan setelah ditembusnya sistem eHAC, usai laporan diterima Badan Siber dan Sandi Negara (BSSN).

Kementerian Kesehatan pun angkat suara mengenai peristiwa ini. Menurut Kepala Pusat Data dan Informasi Kementerian Kesehatan Anas Ma'ruf, database yang diduga bocor itu bersumber dari eHAC versi lama yang telah ditutup aksesnya sejak Juli 2021.

eHAC kini sudah bergabung ke dalam PeduliLindungi dan itu kenapa eHAC lama tidak lagi dipergunakan. Tapi sayangnya, VPN Mentor berhasil menerobos 'pintu rumah' eHAC lama dan menemukan 1,3 juta data di dalamnya.

Berdasar laporan resmi VPN Mentor, peneliti berhasil menerobos ke sistem eHAC karena pengembang aplikasi gagal dalam mengimplementasikan protokol privasi data yang memadai. Hal ini berkaitan dengan sistem yang dipakai aplikasi eHAC untuk menyimpan big data adalah Elasticsearch yang ternyata tidak begitu kuat 'security'-nya.

Pendiri Drone Emprit Ismail Fahmi pun juga angkat bicara mengenai permasalahan tersebut. Berdasar pengamatannya, ada 3 faktor yang membuat 'rumah lama' eHAC begitu mudah diakses hacker, yang kebetulan kali ini ditemukan oleh VPN Mentor, sebuah 'ethical hacker'.

Berikut 3 faktor kenapa eHAC bisa ditembus VPN Mentor versi Ismail Fahmi:

1. Sistem eHAC menggunakan database Elasticsearch

"Dalam penyimpanan big data itu ada yang menggunakan software data Elasticsearch. Elasticsearch ini default-nya bisa diakses pakai browser biasa saja, dengan http apa gitu, defaultnya enggak pakai password bisa diakses," ungkap Ismail Fahmi saat diwawancarai MNC Portal, Selasa malam (31/8/2021).

"Jadi, orang yang mengerti misalnya, alamat tertentu, trackingan nomor atau kode tertentu, adalah alamat Elasticsearch, dan kalau enggak dikasih password, dia bisa buka isinya. Dan ternyata yang ditemukan  VPN Mentor itu (eHAC) enggak ada passwordnya. Kebetulan belum ada hacker jahat yang nemuin," lanjutnya.

Ismail Fahmi pun mempertanyakan, "Kenapa data yang besar itu tidak di-password? Artinya, security aplikasi apakah tidak ada? Untuk menyimpan data sebesar itu harusnya ada security-nya."

2. Database disimpan di Cloud

Menurut Ismail, ini kesalahan fatal bagi pemerintah. "Data dibilang disimpan di Cloud, padahal data jutaan dan datanya luar biasa. Enggak boleh disimpan di Cloud di luar Indonesia. Cloud-nya kalau di Google, enggak tahu di mana. Jurisdiction-nya di mana?" papar Ismail Fahmi yang juga seorang pengamat media sosial itu.

Karena ternyata disimpan di Cloud, ketika ada masalah, kata Fahmi, itu datanya ada di mana tidak jelas. "Beda kasus dengan BPJS Dana Kesehatan kemarin, ketika ada masalah Polri bisa langsung (bertindak) dengan ngecek server lalu di-copy kemudian diforensik. Nah, ini kalau di Cloud, punyanya Google, enggak bisa apa-apa Polri," terangnya.

"Artinya, data yang sangat besar dan luar biasa haram hukumnya disimpan di Cloud. Kok bisa sampai ditaruh di Cloud," sambungnya.

3. Meninggalkan data lama begitu saja

Fahmi berbicara bahwa berdasar data Kemenkes, eHAC yang diduga bocor tersebut adalah data lama yang sudah ditutup aksesnya pada Juli 2021. Menurut Fahmi, itu bukan waktu yang lama alis baru 'kemarin banget'.

"Data yang diduga bocor itu katanya eHAC yang lama, terakhir bulan Juli. Juli kan baru bulan lalu, artinya masih dipakai. Kemudian dia (eHAC) pindah ke PeduliLindungi," kata Fahmi.

Artinya, ini baru bulan lalu. Fahmi menambahkan, "Software enggak dipakai, database enggak dipakai, apakah lantas ditinggalkan begitu saja tanpa password sembari ngembangin yang baru dengan database di-copy ke yang baru, lebih aman."

Ia pun menganalogikan situasi ini dengan analogi sebagai berikut; Rumah kosong, pintu enggak dikunci, bisa diakses bebas, tapi di dalamnya ternyata ada harta karun.

"Jadi, peristiwa ini memunculkan pertanyaan kemampuan pemerintah menjaga data private dari warganya yang dikumpulkan. Pertanyaan yang sama pun untuk PeduliLindungi, mampu kah pemerintah menjaga data di aplikasi itu. Ini tantangan buat pemerintah," tutur Fahmi. (NDA)