Indoissue.com – Tim vpnMentor, perusahaan keamanan siber, menemukan kerentanan data terkait aplikasi. Gunakan eHAC Kementerian Kesehatan untuk mencegah dan mengendalikan penyebaran COVID-19, khususnya dari luar negeri. Tentunya, aplikasi eHAC ini di-host di server yang dapat diakses dengan mudah oleh siapa saja.
Electronic Health Alert Card atau aplikasi eHAC dibuat pada tahun 2020 oleh Kementerian Kesehatan untuk memberikan hasil tes pengguna yang bepergian di dalam negeri untuk memastikan mereka tidak membawa COVID-19 dan merupakan persyaratan wajib bagi siapa pun yang terbang ke Indonesia dari negara lain.
Tim vpnMentor yang dipimpin oleh Noam Rotem dan Ran Locar menemukan bahwa aplikasi eHAC tidak memiliki keamanan data yang memadai. Akibatnya, itu bisa mengekspos data sensitif 1,3 juta pengguna melalui server terbuka.
Selain membocorkan data sensitif pengguna, para peneliti menemukan bahwa semua infrastruktur di sekitar eHAC terekspos, termasuk informasi pribadi tentang rumah sakit lokal Indonesia serta pejabat kesehatan masyarakat, dan lembaga pemerintah yang menggunakan aplikasi ini.
“Tim kami menemukan catatan eHAC tanpa hambatan karena kurangnya protokol yang diterapkan oleh pengembang aplikasi. Setelah mereka menyelidiki database dan memastikan bahwa catatan itu asli, kami menghubungi Kementerian Kesehatan Indonesia dan mempresentasikan temuan kami,” kata tim peneliti vpnMentor.
Jenis Kebocoran Data
eHAC Kemenkes Peneliti vpnMentor mengatakan data yang bisa diakses beragam, mulai dari identitas diri, alamat, nomor telepon, informasi perjalanan, rekam medis hingga keadaan COVID-19. Total data yang terekspos lebih dari 1,4 juta dengan kapasitas hingga 2 GB.
Ada juga data dari 226 rumah sakit dan klinik di seluruh Indonesia serta nama orang yang bertanggung jawab untuk menguji setiap pelancong, dokter yang melakukan tes, informasi jumlah tes yang dilakukan setiap hari, dan data jenis pengunjung.
Basis data yang bocor bahkan berisi informasi pribadi orang tua atau kerabat pelancong serta detail tentang hotel mereka dan informasi lain tentang kapan akun eHAC dibuat. Bahkan karyawan eHAC memiliki nama, NIK, nama akun, alamat email, dan kata sandi mereka yang terbuka.
Ngeri yaa, bocor sampai ke akar-akarnya.