Pengamat: Jika Data Kemenkes Benar Bocor, Sangat Fatal

Novina Putri Bestari, CNBC Indonesia

Jumat, 07/01/2022 10:25 WIB

Foto: Pasien OTG Covid-19 ikuti senam pagi di Stadion Patriot Chandrabhaga, Bekasi. AP/Achmad Ibrahim

Jakarta, CNBC Indonesia - Dugaan kebocoran data kembali terjadi, kali ini data pasien yang diduga dari Kementerian Kesehatan muncul di forum gelap Raid Forum. Pengamat keamanan siber dari Cissrec, Pratama Persadha mengatakan jika benar kasus ini berasal dari server kementerian tersebut maka sangat fatal untuk mengamankan data.

"Dalam kasus ini jika benar bocor dari server Kemenkes maka kementerian tersebut sangat fatal dan parah dalam mengamankan data - data masyarakat. Ini menjadi keprihatinan bersama," kata Pratama, kepada CNBC Indonesia, dikutip Jumat (7/1/2021).

"Padahal kejadian lalu yang bocor adalah eHAC Kemenkes, sistem lama yang tidak terpakai lagi. Kali ini ditambah dengan kebocoran 720 GB dokumen dan 6 juta list data medis pasien seperti yang diklaim peretas".

Dia menjelaskan peretas dengan nama akun Astarte menjual dan membocorkan sebagian data berukuran 720GB di Raid Forum. Data itu berisi rekam medis masyarakat di sejumlah rumah sakit Indonesia.

Pada file sample terdapat foto-foto yang dipajang kemungkinan sebagian besar korban kecelakaan atau penyakit keras. Namun menurut Pratama kemungkinan data tersebut bukan pasien terkena Covid.

Peretas mengklaim mendapatkan data dari server pusat Kementerian Kesehatan. Data itu diambil pada 28 Desember 2021 lalu.

"Namun sampai saat ini belum dipastikan bahwa data bocor tersebut pasti berasal dari data Kemenkes, karena hanya pihak Kemenkes dan BSSN sendiri yang bisa menentukan," ungkapnya.

Pratama mengatakan data yang bocor seperti nama, nomor kontak, alamat, tempat lahir, tanggal lahir, nomor kartu, nik rujukan, lab, obat, tindakan, alergi, dan status nomor rujukan bpjs. Selain itu juga ada soal transportasi, alasan merujuk, tanggal rujuk, nik petugas, nama petugas, anamnesis, celaka, kriteria rujukan, diagnosa,kesadaran,gcs,tensi, nadi,suhu,pernapasan,nyeri,status.

Pelaku juga memberikan video tangkapan kamera sebagai cara meyakinkan pembeli jika data yang ada adalah benar dan valid.

Menurut Pratama perlu dilakukan forensik digital. Dengan begitu mengetahui di mana celah keamanan berada dan pelaku bisa menerobosnya.

"Apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain. Seperti adanya compromised dari akun admin yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem," kata Pratama.