TEMPO.CO, Jakarta - Dugaan bocornya data 1,3 juta pengguna aplikasi Electronic Health Alert Card (eHAC) milik Kementerian Kesehatan mendapat tanggapan serius dari Ketua DPR RI Puan Maharani. Kebocoran berupa data nama, kontak, hingga foto ini diungkap oleh tim peneliti di vnpMentor's, Noam Rotem dan Ran Locar.
Puan mengatakan saat ini DPR RI tengah mengebut penyusunan RUU Perlindungan Data Pribadi (PDP), agar hal semacam ini dapat terhindarkan.
“Maka kami juga mengharapkan keseriusan pemerintah dalam proses pembahasan RUU PDP agar bisa segera disahkan sebagai jaminan perlindungan terhadap data-data milik rakyat,” ujar Puan Maharani dalam keterangannya, Rabu, 1 September 2021.
Sambil menunggu RUU PDP rampung, Puan meminta Kementerian Komunikasi dan Informatika (Kemenkominfo) berkoordinasi lebih lanjut dengan Kemenkes dan kementerian/lembaga lainnya untuk memberikan tambahan keamanan data warga di aplikasi eHAC dan PeduliLindungi.
“Pengelolaan data-data milik rakyat tidak boleh main-main. Perlindungan data-data pribadi warga harus dilakukan secara optimal agar tidak terjadi kebocoran,” kata Puan.
eHAC merupakan kartu manual yang dikembangkan Kemenkes secara digitalisasi. Aplikasi eHAC digunakan untuk masyarakat yang akan bepergian dengan transportasi umum, khususnya transportasi penerbangan.
Dalam aplikasi tersebut terdapat nama lengkap, tanggal lahir, foto, nomor KTP, paspor, hasil tes Covid-19, alamat, nomor telepon, nomor peserta rumah sakit, hingga pekerjaan pengguna. Namun Kemenkes menyatakan aplikasi ini sudah tidak digunakan sejak beberapa bulan lalu karena dokumen kesehatan bagi pengguna transportasi udara sudah terintegrasi dengan PeduliLindungi.
Dalam laporan tim peneliti di vnpMentor's, Noam Rotem dan Ran Locar, disebutkan bahwa aplikasi Covid-19 pemerintah Indonesia tidak sengaja mengekspos lebih dari 1 Juta orang dalam kebocoran data massal. Total kapasitas data yang bocor mencapai 2 GB.
Peneliti menyebut ada empat jenis data yang bocor yaitu Covid-19 Test Data, e-Hac Account Data, Individual Hospital Data, dan Passenger Personally identifiable information (PII) Data.
Pada Passenger PII Data misalnya, beberapa data yang bocor menyangkut identitas penumpang pesawat, nama lengkap, nomor HP, kewarganegaraan, gender, paspor berikut foto pribadi, bahkan hotel tempat penumpang pesawat menginap.
Menurut peneliti, data-data ini mereka temukan pada 15 Juli 2021. Lalu, mereka menghubungi Kemenkes pada 21 Juli 2021. Setelah beberapa tidak ada respons, mereka pun menghubungi The Indonesia Computer Emergency Response Team (ID-CERT) hingga pihak Google.
Tapi, peneliti menyebut berbagai upaya untuk menghubungi sejumlah pihak ini tidak memperoleh jawaban. Sehingga, mereka mencoba menghubungi Badan Siber dan Sandi Negara (BSSN) pada 22 Agustus 2022.
Menurut peneliti, mereka langsung memperoleh jawaban dari BSSN pada hari yang sama. Dua hari kemudian, pada 24 Agustus 2021, BSSN langsung menurun server tempat sumber kebocoran tersebut.
M JULNIS FIRMANSYAH I FAJAR PEBRIANTO
Baca juga: Kemenkes Pastikan Data Masyarakat di eHAC Tidak Bocor