VPNmentor mengeluarkan laporan : Report: Indonesian Government’s Covid-19 App Accidentally Exposes Over 1 Million People in Massive Data Leak https://www.vpnmentor.com/blog/report-ehac-indonesia-leak/
Aplikasi Covid 19 dari Pemerintah Indonesia tanpa sengaja membeberkan data lebih dari 1 juta orang dalam kebocoran data yang masif.
Tetapi, BSSN mengeluarkan pernyataan yang menyangkal hal ini dan menyatakan data eHAC tidak bocor dan megklaim bahwa kalau ini merupakan bagian dari keamanan siber.
Pernyataan BSSN ini dikutip oleh lembaga pemerintah lain seperti Kominfo dengan sangat yakin mengatakan bahwa tidak ada kebocoran data eHAC.
Kominfo seharusnya adalah kementerian yang paling mengerti IT di Indonesia dan tahu jelas apa itu data dan apa itu definisi kebocoran data.
Padahal, kalau memang pernyataan BSSN tersebut benar, harusnya VPNmentor harus di proses hukum karena menyebarkan informasi yang tidak benar dan menjelekkan Pemerintah Indonesia karena aplikasi Covid-19 nya mengalami “Kebocoran Data yang Masif”.
Definisi kebocoran data
A data breach is a security violation in which sensitive, protected or confidential data is copied, transmitted, viewed, stolen or used by an unauthorized individual.
Kebocoran data adalah aksi pelanggaran sekuriti dimana data yang sifatnya sensitif, terproteksi atau rahasia dikopi, ditransmisikan, dilihat, dicuri atau digunakan oleh individu yang tidak memiliki hak. https://privacyrights.org/resources/whats-data-breach
Jadi secara definitif jika ada data yang sifatnya sensitif, terproteksi atau rahasia bisa “dilihat saja” oleh individu yang tidak memiliki hak. Maka hal ini sudah termasuk ke dalam kategori kebocoran data.
Jika kita menelaah lebih dalam artikel dari VPNmentor yang notabene adalah perusahaan asing dan bukan merupakan mitra Kemenkes. Faktanya, mereka bukan hanya melihat-lihat saja tetapi seperti kata Joshua mengobok-obok data eHAC.
Di mana diinformasikan bahwa data yang terpapar adalah identitas penumpang, identitas rumah sakit, nomor antrian ketika melakukan Tes Covid-19, alamat, jenis pengetesan Covid, hasil pengetesan dan tanggal pencetakan sertifikat dan dokumen ID eHAC.
Data lain yang berhasil didapatkan oleh VPNmentor adalah informasi detail lainnya seperti nomor HP, tanggal lahir, pekerjaan, jenis kelamin, NIK, paspor dan foto profil.
Database tersebut mengandung informasi staff yang bertugas membuat akun eHAC dengan detail seperti Nama, nomor ID, nama akun eHAC, alamat email dan informasi apakah menggunakan password default atau tidak.
Security is a process
Dalam kasus kebocoran data memang tidak ada pihak yang senang, sengaja atau sukarela datanya bocor.
Jika ada perusahaan atau institusi yang mengelola data publik, maka sudah menjadi kewajiban dari institusi tersebut mengamankan data yang mereka kelola dengan sebaik-baiknya.
Karena jika terjadi kebocoran data, yang paling menderita adalah masyarakat pemilik data karena rentan menjadi korban eksploitasi. Institusi yang bersangkutan paling maksimal mendapatkan malu, itupun kalau mau sportif mengakui hal ini.
Sebenarnya, bukan kambing hitam atau siapa yang salah yang dicari oleh praktisi sekuriti, karena menyalahkan atau menghukum tidak menghilangkan akibat kebocoran data.
Kalau mengakui kesalahan saja tidak berani dilakukan, bagaimana kita bisa berharap institusi bisa sadar dan mengubah dirinya
Jika mengakui kesalahan saja sulit dan hal ini malah didukung oleh sesama lembaga negara. Dimana seharusnya ada lembaga negara yang seharusnya memberikan pencerahan kepada masyarakat dan menjadi wasit yang baik.
Malah berusaha saling melindungi dan menutupi kesalahan. Dapat dikatakan bahwa jalan menuju pengamanan data masyarakat sangat terjal dan panjang dan masyarakat masih harus banyak berdoa semoga para pemangku kepentingan bisa sadar dan berjalan dijalan yang benar.
Pengamat Keamanan Siber, Alfons Tanujaya
