Mandiri laporan mengungkapkan pelanggaran data pada aplikasi pengujian dan pelacakan seluler COVID-19 pemerintah Indonesia, yang berpotensi memengaruhi catatan sekitar 1,3 juta pengguna.
Diluncurkan tahun ini, Electronic Health Alert Card (eHAC) menjadi persyaratan wajib bagi para pemudik yang masuk ke Indonesia. Ini menyimpan status kesehatan pengguna, data pribadi mereka, detail kontak, hasil tes COVID-19, dan lainnya.
Kebocoran terdeteksi oleh para peneliti di penyedia crypto vpnMentor yang sedang melakukan aktivitas pemetaan web untuk menemukan penyimpanan data tidak aman yang berisi informasi sensitif.
HASIL
Dalam sebuah laporan, vpnMentor mengatakan para pengembang menggunakan database yang tidak aman untuk menyimpan sekitar 2 gigabyte catatan dari jutaan pengguna aplikasi. Menurut para peneliti, mereka dapat mengakses database Elasticsearch melalui browser, yang umumnya tidak dirancang untuk penggunaan URL.
“Rekaman ini tidak hanya mengekspos pengguna. Pelanggaran data ini mengekspos seluruh infrastruktur di sekitar eHAC, termasuk catatan pribadi rumah sakit dan pejabat Indonesia yang menggunakan aplikasi tersebut,” kata laporan itu.
Setelah para peneliti dapat mendeteksi database yang terpapar, mereka awalnya menghubungi Kementerian Kesehatan dan Tim Tanggap Darurat Komputer Indonesia, tetapi tidak berhasil. Mereka baru mendapat tanggapan dari Badan Siber dan Enkripsi Nasional yang menghapus server pada 24 Agustus.
MENGAPA PENTING?
Laporan tersebut menemukan bahwa pengembang aplikasi tidak memiliki protokol privasi data yang “memadai”, sehingga data lebih dari satu juta pengguna terbuka di server terbuka. Para ahli dari vpnMentor mengatakan bahwa data yang tidak dilindungi dapat digunakan untuk kampanye penipuan, phishing, atau peretasan dan disinformasi.
Pada akhirnya, mereka menyarankan pengembang untuk menerapkan langkah-langkah keamanan dasar, seperti keamanan server dan penerapan aturan akses yang tepat.
Menurut Reuters laporan pers, pemerintah Indonesia sudah menyelidiki insiden yang terjadi pada aplikasi eHAC versi sebelumnya yang tidak digunakan sejak Juli.
Anas Ma’ruf, pejabat Kementerian Kesehatan, mengatakan versi sebelumnya berbeda dengan sistem eHAC yang kini menjadi bagian dari aplikasi Peduli Lindungi (Care Protect) yang digunakan untuk keperluan pelacakan kontak.
Namun, Departemen Kesehatan telah menyarankan warga untuk menghapus aplikasi lama dari perangkat seluler mereka.
Tanpa memberikan rincian lebih lanjut, pihak berwenang menduga bahwa pelanggaran data mungkin terjadi pada sistem pihak ketiga.
TREN TERBESAR
Pada bulan Mei, data jaminan sosial sekitar 100.000 orang Indonesia ditemukan dijual melalui forum peretasan. NS data dilaporkan diungkapkan kepada perusahaan asuransi umum BPJS Kesehatan dan termasuk informasi tentang keluarga dan status pembayaran.
Baru beberapa minggu yang lalu sebuah klinik mata swasta di Singapura mengungkapkan itu terkena serangan ransomware awal bulan ini. Insiden pada server klinik dan sistem manajemen Eye & Retina Surgeon mempengaruhi catatan lebih dari 73.000 pasien.
