(IslamToday ID) – Para periset di vpnMentor telah mengungkap kebocoran data pribadi yang terjadi di aplikasi tes dan pelacakan Covid-19 yang dibuat Indonesia. Aplikasi tersebut adalah electronic Health Alert Card atau e-HAC.
Mengutip Panduan Pengguna Aplikasi e-HAC, e-HAC adalah Kartu Kewaspadaan Kesehatan, merupakan versi modern dari kartu manual yang digunakan sebelumnya. Sistem e-HAC dikembangkan oleh Kementerian Kesehatan Indonesia, dalam hal ini Direktorat Surveilans dan Karantina Kesehatan Ditjen Pencegahan dan Pengendalian Penyakit.
Aplikasi ini wajib digunakan oleh pengunjung yang memasuki Indonesia ataupun mereka yang bepergian domestik untuk memastikan mereka tidak membawa virus corona dan dibuat tahun 2021 ini.
Namun menurut vpnMentor, developer aplikasi tidak membenamkan protokol privasi yang baik sehingga data lebih dari sejuta orang terbuka di servernya.
Tepatnya ada sekitar 1,3 juta data yang diklaim vpnMentor bocor dari aplikasi itu. Data yang ada termasuk status kesehatan seseorang, informasi pribadi, kontak, hasil tes Covid-19, dan lainnya.
Noam Rotem dan Ran Locar, selaku bos vpnMentor menyatakan bocornya data tersebut adalah bagian dari usaha mereka menekan kasus semacam ini. “Tim kami menemukan rekaman data e-HAC tanpa halangan karena kurangnya protokol yang ditempatkan oleh developer aplikasi,” ujar mereka seperti dikutip dari DetikCom, Rabu (1/9/2021).
“Di saat tim kami menginvestigasi database dan mengkonfirmasi bahwa rekaman data itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan menunjukkan temuan kami,” tambah mereka.
Namun, sudah beberapa hari tidak ada tanggapan dari Kemenkes. Google selaku host dari e-HAC juga tidak menanggapi. Akhirnya BSSN disebut mereka bertindak.
“Kami menghubungi badan pemerintah lain, salah satunya BSSN. Kami menghubungi di 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudian di 24 Agustus, servernya ditutup,” sebut vpnMentor.
Perbedaan e–HAC Kemenkes dengan PeduliLindungi
Masyarakat sempat bingung antara aplikasi e-HAC Kemenkes dan fitur e-HAC di aplikasi PeduliLindungi. Serupa tapi nyatanya tidak sama.
e-HAC adalah singkatan dari Electronic-Health Alert Card, yaitu Kartu Kewaspadaan Kesehatan. Aplikasi e-HAC awalnya dikembangkan oleh Kementerian Kesehatan dan tersedia di Google Play Store.
e-HAC wajib diisi oleh orang yang mau masuk ke Indonesia. Data yang dimasukkan sangat lengkap dari data diri, alamat, tujuan pergi sampai hasil tes Covid-19.
Sedangkan, PeduliLindungi merupakan aplikasi yang dikembangkan Kominfo, Kemenkes, Badan Nasional Penanggulangan Bencana (BNPB) dan operator telekomunikasi. Aplikasi ini membantu pelacakan digital untuk menghentikan penyebaran Covid-19.
Aplikasi PeduliLindungi juga sudah tersedia di Google Play Store sejak Maret 2020 dan App Store sejak April 2020. Pada aplikasi PeduliLindungi, pengguna bisa memanfaatkan fitur pantau wilayah, informasi vaksinasi dan tentunya mendownload sertifikat vaksin. Bahkan aplikasi ini juga dipakai untuk keluar masuk mal.
Dalam aplikasi PeduliLindungi juga ada fitur e-HAC. Namun Menkominfo Johnny G Plate mengatakan data e-HAC di PeduliLindungi beda dengan data e-HAC yang bocor.
“Berdasarkan informasi yang kami terima, eHAC yang mengalami kebocoran adalah aplikasi awal yang dikerjasamakan dengan pihak ketiga, sebelum dialihkan ke PeduliLindungi. e-HAC di PeduliLindungi saat ini masih aman,” ujar Menkominfo, Selasa (31/8/2021).
Pengakuan Kemenkes
Usai heboh laporan kebocoran data e-HAC oleh vpnMentor, Kemenkes pun memberikan klarifikasinya. Menurut Kepala Pusat Data dan Informasi Kemenkes, Anas Maruf, yang bocor adalah data e-HAC lama.
“Kebocoran data terjadi di aplikasi e-HAC yang lama, yang sudah tidak digunakan lagi sejak Juli 2021 sesuai dengan Surat Edaran Kementerian Kesehatan No HK.02.01/Menkes/847/2021 tentang Digitalisasi Dokumen Kesehatan bagi Pengguna Transportasi Udara yang Terintegrasi dengan Aplikasi Pedulilindungi,” ujar Anas dalam konferensi pers virtual, Selasa (31/8/2021).
Ia menegaskan masyarakat dianjurkan untuk menggunakan aplikasi PeduliLindungi sebagai syarat perjalanan udara, yang di dalamnya ada informasi lokasi vaksinasi, sertifikat vaksin Covid-19, hingga fitur e-HAC.
“Sistem yang ada di dalam PeduliLindungi, dalam hal ini e-HAC berbeda dengan sistem dengan e-HAC yang lama. Infrastruktur berbeda, berada di tempat yang lain,” ungkap Anas.
PeduliLindungi Diklaim Aman
Dengan kejadian ini, Kemenkes meminta masyarakat menghapus aplikasi e-HAC di ponsel masing-masing. Pemerintah sudah meninggalkan penggunaan aplikasi e-HAC sejak Juli 2021.
Setelah itu, beralih dengan memanfaatkan aplikasi PeduliLindungi. Untuk itu, disampaikan Anas, agar masyarakat kini mengunduh PeduliLindungi di smartphone-nya.
“Data e-HAC yang lama tidak terhubung dengan data yang ada di PeduliLindungi. Terkait yang baru sudah dijamin keamanannya, sudah di pusat data nasional. Sedangkan yang lama, sedang upaya lakukan investigasi, penelusuran, audit forensik dengan pihak terkait,” pungkasnya.
Meskipun ada perintah menghapus aplikasi e-HAC, aplikasi ini masih ada di Google Play Store. Hal ini tetap membuka peluang masyarakat mendownload dan berisiko datanya terpapar dan bocor.
Namun, dr Siti Nadia Tarmizi, juru bicara vaksinasi Covid-19 Kemenkes mengatakan bahwa Kemenkes sudah menutup e-HAC dan aplikasi ini tidak lagi digunakan.
“Ini sudah ditutup dan tidak digunakan kembali ya. Jadi memang tidak dianjurkan menggunakan e-HAC lama, tapi gunakan melalui PeduliLindungi,” jawab dr Nadia.
Kritik Publik
Kebocoran data e-HAC dinilai sebagai catatan merah untuk pemerintah Indonesia. Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya mengkritik respons Kemenkes yang lamban terhadap laporan vpnMentor.
“Catatan merah juga perlu diberikan kepada tim IT Kemenkes yang dikontak tapi tidak ada tanggapan. Demikian juga CERT Indonesia yang dikontak dan diinformasikan, tetapi tidak memberikan tanggapan sama sekali pada waktunya,” katanya.
Sementara itu, Koalisi Advokasi Pelindungan Data Pribadi (KA-PDP) menyerukan pentingnya otoritas pelindungan data pribadi (OPDP) yang independen dan disahkanya Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP).
“Keberadaan otoritas ini penting guna mendorong kepatuhan sektor publik terhadap prinsip-prinsip pemrosesan data pribadi yang baik,” ujar KA-PDP.
Anggota Komisi I DPR RI Fraksi PKS Sukamta mengkritik Menkominfo Johnny G Plate terkait dugaan data pengguna e-HAC Kemenkes bocor. Sukamta geram, sebab Menkominfo dalam rapat Komisi I DPR kemarin menjamin data pengguna e-HAC tidak akan bocor.
“Baru Senin kemarin kami rapat dengan Kominfo. Kami ingatkan soal keamanan data pribadi warga dalam aplikasi PeduliLindungi. Pak Menteri dengan semangat meyakinkan soal pengelolaan keamanan data yang hebat dan dijamin tidak bocor dalam e-HAC. Kenyataannya bobol lagi, ini kan konyol,” katanya. [wip]