alexametrics

Aplikasi eHAC Diretas dengan Mudah, Jutaan Data Pengguna Tercecer di Internet

Liberty Jemadu
Aplikasi eHAC Diretas dengan Mudah, Jutaan Data Pengguna Tercecer di Internet
Para peneliti vpnMentor mengungkapkan bahwa aplikasi e-HAC sama sekali tidak aman. Data jutaan penggunanya terekspos tanpa perlindungan di internet. (Google Play)

Jika data milik jutaan pengguna eHAC dikuasai peretas, maka penanganan Covid-19 di Indonesia bisa terganggu.

Suara.com - Para peneliti dari perusahaan keamanan siber vpnMentor mengungkapkan bahwa mereka berhasil membobol aplikasi eHac milik Kementerian Kesehatan dan dengan mudah bisa mengakses data-data pribadi jutaan pengguna aplikasi pelacakan Covid-19 di Tanah Air tersebut.

Noam Roten dan Ran Locar, dua peneliti dari vpnMentor, mengatakan aplikasi itu tidak memiliki protokol perlindungan privasi yang layak, sehingga data lebih dari sejuta pengguna terekspos di sebuah open server.

"Tim kami membobol data eHAC tanpa rintangan sama sekali karena tidak adanya protokol yang digunakan oleh pengembang aplikasi. Ketika database diteliti dan dipastikan keasliannya, kami langsung menghubungi Kementerian Kesehatan Indonesia dan menyerahkan hasil temuan kami," kata tim peneliti vpnMentor.

Sayangnya jelas, vpnMentor, Kementerian Kesehatan tak merespon laporan tersebut. Para peneliti juga menghubungi Computer Emergency Response Team Indonesia dan Google, sebagai penyedia hosting eHAC.

Baca Juga: Kominfo: 32 Juta Lebih Orang Indonesia Sudah Gunakan Aplikasi PeduliLindungi

"Sampai Agustus, kami tidak menerima jawaban dari semua pihak terkait. Kami mencoba menghubungi lembaga pemerintah lainnya, salah satu di antaranya adalah BSSN. Kami menghubungi mereka pada 22 Agustus dan mereka membalas di hari yang sama. Dua hari kemudia, pada 24 Agustus, server tersebut dimatikan," jelas vpnMentor.

Dalam laporannya vpnMentor mengatakan bahwa orang yang membuat eHAC telah menggunakan "database Elastisearch yang tidak aman untuk menyimpan lebih dari 1,4 juta data dari sekitar 1,3 juta pengguna eHAC."

Selain data-data pribadi pengguna, yang juga tak terlindungi dari aplikasi eHAC adalah informasi tentang rumah-rumah sakit dan para pejabat Indonesia yang menggunakan aplikasi tersebut.

Adapun data-data yang terekspos adalah: nama lengkap, tanggal lahir, pekerjaan, foto pribadi, nomor induk kependudukan, nomor pasport, hasil tes Covid-19, identitas rumah sakit, alamat, nomor telepon dan beberapa data lainnya.

"Tim kami berhasil mengakses database ini karena sama sekali tidak dilindungi dan tidak terenkripsi. eHAc menggunakan database Elasticsearch yang sejatinya tidak dirancang untuk penggunaan URL," imbuh para peneliti.

Baca Juga: Orang Positif Covid-19 yang Masih Berkeliaran Akan Ditandai Kode Hitam di PeduliLindungi

Peneliti dari vpnMentor mengatakan dengan data-data dari eHAC, peretas bisa dengan mudah melakukan penipuan dan bahkan bisa mengganggu penanganan wabah Covid-19 di Indonesia.

Komentar