privasi

Kenapa Pamer Tiket Pesawat di Medsos itu Sama Sekali Enggak Keren

Risikonya tidak sepadan dengan kebanggaan diri yang kamu dapat dari banyaknya orang mengklik like. Kamu bisa-bisa dicari interpol gara-gara itu.
Audy Bernadus
Diterjemahkan oleh Audy Bernadus
19.9.17

Coba ketik tagar #boardingpass di Instagram, lalu lihat hasilnya. Ketika saya mencoba, keluar 92 ribu postingan. Gila, banyak banget! Seharusnya tak satupun boardingpass boleh keluar di media sosial. Emang sih, lumayan gaya juga pamer-pamer tiket liburan di instagram. Tapi aksi pamer-pamer itu sama sekali enggak sepadan dengan risiko yang potensial datang. Orang-orang yang niatnya curi identitas kamu, pakai nama kamu buat beli tiket pesawat, atau ambil alih akun kamu. Mereka pasti seneng banget kalau kamu posting bording pass di Instagram.

Iklan

Di pertengahan tahun 2017 saja, jumlah kasus pencurian identitas sudah sangat banyak sampai-sampai BBC menyebut kasus ini sebagai kasus 'epidemik'. Ternyata kelompok umur yang terkena kasus pencurian identitas bukan orang-orang tua yang enggak mengerti tentang media sosial, tapi orang-orang yang masih muda dan sering pakai media sosial.

Tapi gimana caranya orang jahat bisa mencuri identitas kamu secara daring, sementara pada saat yang sama kesadaran kata sandi yang aman sedang jadi hal yang sering dibicarakan? Jawabannya ternyata ada pada apa yang kamu posting di media sosial. Banyak orang yang suka posting tiket pesawat, tiket kereta, bahkan kunci mobil, dan asal mereka tahu saja, itu sangat potensial mengundang orang buat melakukan kejahatan.

Biasanya foto tiket pesawat enggak sejelek ini sih

Kode booking kamu itu hanya kata sandi sementara dan itu bukan sandi yang aman

Kode booking yang terdiri dari 6 digit, yang di dunia penerbangan disebut PNR ( Passanger Name Record) ternyata merupakan titik lemah yang mudah bocor ke pencuri identitas. Itu sudah dibuktikan oleh hacker Karsten Nohl di Hamburg, Jerman.

Nohl menemukan bahwa PNR ternyata hanya kata sandi sementara lemah yang dikasih maskapai, dan ditempel di bagasi kamu. Semua orang yang tahu nama belakang dan kode booking kamu bisa masuk ke portal check-in maskapai dan dapet tiket penerbangan gratis, tak lain dan tak bukan itu adalah tiket penerbangan kamu.

Di beberapa website maskapai, nama belakang dan waktu keberangkatan cukup buat melakukan registrasi penumpang dan dapet hardcopy dari boarding pass. Dan karena sekarang ini banyak maskapai penerbangan yang punya perjanjian codesharing, satu kata sandi memungkinkan seorang kriminal di dunia digital buat masuk ke lima website maskapai atau lebih. Dari situ, si pencuri ini bisa akses indentitas orang lain dan dapet tiket pesawat gratis.

Iklan

Kasus pencurian tiket pesawat secara daring ini mulai marak di awal 2017. Tapi sebagai pengembang dan pakar keamanan siber, Michal Spacek bilang bahwa maskapai dan penumpang sudah belajar sedikit mengenai pencurian tiket pesawat ini. Di salah satu postingan di websitenya, Michal Spacek memberikan gambaran tentang apa saja yang bisa kamu olah dari satu posting di media sosial.

Tiga alasan kenapa foto boarding pass enggak boleh ada di media sosial

Di kasus pertama dari tiga studi kasus tentang Instagram, Spacek menjelaskan bahwa dia enggak cuma bisa melacak lokasi temannya yang sedang liburan di Hong Kong, tapi juga bisa membuat temannya itu jadi buronan internasional. Spacek bisa melakukan itu semua karena temannya posting foto boarding pass di samping smartphone dan speakernya.

Dengan pakai foto yang menampilkan kode booking dengan jelas, Spacek bisa masuk ke website British Airways dan mengakses informasi personal punya temannya, termasuk tanggal lahir dan nomer passport, sebelum temannya berangkat.

Buat ngerjain temannya, Spacek cukup membuat website maskapai percaya kalau temannya itu seolah-olah mau mengubah data pribadinya. Karena Spacek enggak punya nomer passport temannya itu, websitenya akan kasih pilihan dengan memasukkan tanggal lahir. Nah, dalam kasus ini, datanya engga cuma ada di registrasi maskapai tapi juga ada di Facebook. Setelah itu, Spacek tinggal ganti nomer passport temannya itu sesuka hati dia, dalam kasus ini dengan nomer passport teroris yang sedang dicari Interpol.

Iklan

Di kasus kedua, sebut saja dia Anna, berusaha menutupi identitasnya dengan mengedit nama belakangnya sebelum mengunggah foto boarding pass di Instagram. Tapi itu ternyata enggak ngaruh selama Kode Aztec-nya masih kelihatan. Di kasus ini, Spacek cuma butuh aplikasi semacam 'Barcode Scanner' buat tahu nama lengkapnya Anna. Setelah tahu identitasnya, kemungkinan buat ngerjain Anna kurang lebih sama seperti kasus pertama.

Di kasus ketiga, seorang pria yang merupakan seorang pendiri startup terkenal, mengunggah foto jam pintarnya dan meskipun bukan nunjukkin boarding pass, di foto itu kelihatan Kode Aztecnya. Spacek bisa scan barcode itu dan akses sesuatu yang jauh lebih bernilai : nomer frequent-flyer pria itu, yang biasanya dilindungi dengan ketat oleh maskapai.

Dengan nomer ini, ditambahn informasi publik yang mudah dilacak, Spacek hanya harus menjawab dua pertanyaan di website maskapai United Airlines sebelum bisa mengganti password dari akun pria pendiri startup tersebut. Dari situ Spacek bisa akses informasi pembayaran, reservasi, alamat, juga dua atau tiga tiket pesawat gratis. Sejak Spacek mendemonstrasikan caranya membajak akun orang, United Airlines sudah meningkatkan keamanan websitenya. Tapi sejauh ini, Spacek bisa membajak akun pendiri startup dan curi akunnya.

Tapi saya tetep mau share tujuan penerbangan saya! Terus gimana dong?

Ya boleh saja, asalkan kamu enggak nunjukin nama, kode booking, tanggal, dan barcode. Menimpa informasi-informasi tersebut dengan warna hitam jauh lebih aman daripada dibuat blur. Karena ada beberapa aplikasi yang bisa mengembalikan kondisi foto dari blur ke normal.

Iklan

Meskipun belum pasti, lebih aman buat kamu kasih warna hitam di informasi seperti nama dan nomor-nomor. Lebih aman kalau kamu enggak kasih kesempatan buat orang jahat cari-cari informasi tentang identitas kamu.

Banyak orang lupa kalau enggak cuma foto yang bisa berbahaya kalau kita engga teliti, tapi bentuk fisik tiket dan boarding pass juga. Daripada membiarkan tiket atau boarding pass kamu dilihat orang lain, lebih baik kalian sobek saja. Kalau mau lebih niat, sebaiknya kalian punya penghancur kertas, dan setelah tiket atau boarding pas dihancurkan, kamu buang deh ke tempat sampah yang berlainan. Tapi sementara kamu belum punya penghancur kertas, seenggaknya jangan posting foto boarding pass atau tiket kalian di media sosial ya.

Cara yang lebih aman buat pamerin kunci mobil

Mungkin kamu bangga dengan mobil kamu, karena mobil kamu itu baru dan mahal. Dan karena itu, kamu mau nunjukkin nih kalo kamu udah punya mobil itu dengan cara unggah foto kunci mobilnya di samping sarapan kamu. Tapi ternyata kunci mobil kamu itu seharusnya enggak diunggah di Instagram, Twitter atau Facebook loh.

Hal ini karena sebenarnya bikin duplikat kunci mobil itu enggak sulit. Program seperti CAD software bisa bikin duplikat dari kunci mobil yang ada di sebuah foto, yang lalu diubah ke bentuk file Flash. Dari situ, tinggal nyalain printer 3D dan pilih warna yang disukai buat duplikat kunci mobilnya. Setelah itu, orang yang emang niat buat nyuri mobil kamu tinggal cari alamat rumah dengan geotags atau sumber informasi lain di media. tiga puluh media kemudian, mobil kamu sudah bisa berpindah tangan dengan paksa.

Tapi kalau kamu tetap mau unggah foto kunci mobil, seenggaknya tutup sebagian kunci mobil kamu supaya enggak bisa dibikin duplikatnya. Yang penting asal jangan ketutupan saja logo brand mobil kamu. Jadi tipsnya : pamerin mobil kamu tanpa harus ngundang orang buat nyuri.