Data 6 juta pasien COVID-19 milik Kementerian Kesehatan (Kemenkes) diduga bocor dan dijual di forum hacker pada Kamis (6/1). Selain kebocoran data pasien, dokumen kesehatan yang berisi rekam medis pasien juga diduga turut dijual.
Kebocoran ini pertama kali diketahui pada platform komunitas Reddit, di mana muncul sebuah akun di Raid Forums dengan ID “Astarte”.
Ia menjual 720 GB data dan dokumen kesehatan pasien yang sebagian besar merupakan pasien COVID-19. Dokumen itu diberi nama “Indonesia – Medical Patient information 720 GB documents and 6M database”. Sang hacker juga memberi sampel medis dengan ukuran dokumen mencapai 3.26 GB.
Mengenai kebocoran data Kemenkes ini, kumparanTECH pun meminta tanggapan ahli keamanan siber dari lembaga riset Communication & Information System Security Research Center (CISSReC), Pratama Persadha. Ia memastikan kebocoran ini benar terjadi.
“Melihat sampel data yang diberikan sebesar 3.26 GB, dapat dipastikan kebocoran ini benar terjadi,” kata Pratama yang menjabat sebagai Chairman di CISSReC, kepada kumparanTECH, Kamis (6/1).
Terlebih lagi, menurut Pratama, banyak foto-foto yang ada di file sampel tersebut terpampang secara tidak etis. Ia juga meyakini data yang dijual valid lewat video tangkapan kamera komputer yang ditunjukkan penjual.
Selain sample basis data, pelaku penjualan data ini juga memberikan video tangkapan kamera komputer bahwa data-data ini benar dan valid.
– Pratama Persadha, Chairman CISSReC –
Berdasarkan pantauan kumparanTECH, kebocoran data juga meliputi NIK pasien, anamnesis atau data keluhan utama pasien, foto pasien, CT Scan, diagnosis dengan kode ICD 10, hasil tes COVID-19, pemeriksaan klinis, ID rujukan, hingga rencana perawatan.
Data yang bocor juga dilengkapi dengan identitas detail pasien —mulai dari alamat tempat tinggal, tanggal lahir, dan nomor ponsel.
Data bocor diduga didapat dari server pusat Kemenkes
Menurut Pratama, hacker tersebut diduga mendapatkan data dari server pusat Kementerian Kesehatan. Namun untuk lebih jelasnya, perlu dilakukan forensik digital untuk memastikannya.
“Perlu dilakukan forensik digital untuk mengetahui celah keamanan mana yang dipakai untuk menerobos, apakah dari sisi SQL (Structured Query Language) sehingga diekspos SQL Injection atau ada celah keamanan lain,” katanya. “Seperti adanya compromised dari akun admin yang juga berpotensi dimanfaatkan hacker untuk masuk ke dalam sistem.”
Kebocoran data dari server Kemenkes bukan kali pertama terjadi. Sebelumnya pada Agustus tahun 2021, data pengguna aplikasi eHAC Kemenkes dilaporkan bocor. Alhasil, data sensitif milik 1,3 juta penggunanya bisa dilihat melalui server terbuka. {kumparan}
