Baca tanpa iklan
TRIBUNNEWS.COM - Saat ingin bepergian menggunakan pesawat, adakala penumpang memotret dan mengunggah tiketnya penerbangannya ke media sosial. Tindakan seperti ini sebenarnya mengandung banyak bahaya.
Soal bahaya ini diungkap oleh Karstein Nohl dan Nemanja Nikodejevic, peneliti dari perusahaan keamanan cyber Security Research Lab.
Menurut penemuan mereka, penyebabnya ada celah keamanan dalam sistem yang digunakan untuk menangani booking penerbangan.
Seperti diketahui, setiap tiket memiliki kode booking yang tercetak dan tercatat dalam Global Distributed Systems (GDS).
GDS merupakan istilah untuk menyebut sistem yang mengelola booking penerbangan di seluruh dunia.
Jenis sistem GDS ada bermacam-macam, tetapi 90 persen penerbangan di dunia memakai sistem milik Amadeus, Sabre, dan Travelport.
Nah, menurut kedua peneliti, semua GDS dibuat dari sistem lama yang banyak dipakai pada era 70-an dan 80-an.
Sistem lama itu tidak mengalami perubahan apapun, melainkan hanya disatukan dalam infrastruktur web modern dan memakai otentifikasi yang sama tuanya.
Dilansir dari PC Magazine, Selasa (3/1/2017), setiap kali penumpang memesan sebuah tiket, maka GDS akan menandainya dengan kode enam digit.
Kode tersebut juga dipakai sebagai kode booking, yang biasanya tercetak di tiket dan kertas penanda barang bawaan.
Masalahnya, kode enam digit tersebut juga berguna sebagai alat untuk mengakses informasi pribadi pemiliknya.
Peretas cukup mencatat kode tersebut, lalu dengan cara tertentu akan bisa memakainya untuk menemukan data pribadi penumpang, seperti nomor kartu kredit, telepon, alamat, nama lengkap yang tersimpan di GDS.
Hal yang lebih parah, menurut Nohl dan Nikodejevic, peretas yang memiliki kode booking juga bisa memakainya untuk mengubah jadwal penerbangan tanpa diketahui atau membatalkan dan menukarnya dengan hal lain.
Mereka mengatakan, sistem GDS dan situs milik maskapai penerbangan biasanya tidak memiliki lapisan keamanan yang kuat.
Akses menuju informasi pribadi penumpang bisa dilakukan dengan mudah, tanpa harus menggunakan identitas spesifik.
Sistem tidak membatasi berapa kali orang bisa melakukan pencarian identitas yang tersimpan di dalamnya. Sekali masuk, peretas juga bisa mengakses fitur pencarian identitas berulang kali, tanpa batas.
Sekarang dapat Anda bayangkan bukan, bagaimana bahayanya jika memotret tiket berisi kode booking itu dan menunggahnya ke media sosial?
Nohl dan Nikodejevice mengatakan bahwa solusi untuk masalah ini sederhana, perusahaan cuma perlu keamanan cyber yang lebih baik.
Misalnya, membuat akses ke riwayat penerbangan hanya bisa diakses alamat IP tertentu, lalu memasang captcha untuk menghalangi pembobolan.
(Yoga Hastyadi Widiartanto/kompas.com)