Artikel ini pertama kali tayang di Motherboard.Jangan salah, ternyata mudah lho mengubah jadwal penerbangan seseorang atau bahkan membatalkan sekalian tiket yang sudah dipersiapkan jauh-jauh hari. Persoalan ini terjadi lantaran maskapai penerbangan di seluruh dunia menggunakan sistem lama yang tidak menjamin keamanan pelanggan. Hal itu diungkapkan salah satu pembicara Seminar Hacker Chaos Communication Congress.
Iklan
Sudah sekian dekade sistem jaringan pemesanan tiket pesawat diketahui rentan diretas oleh orang berniat jahat. Sampai sekarang belum ada solusinya. "Di manapun kalian memesan tiket, artinya sistem kalian sejenis," kata Karsten Nohl, Peneliti Keamanan Siber saat dihubungi Motherboard. Dia adalah rekan peneliti Nemanja Nikodijevic, pembicara yang mengangkat isu ini dalam seminar tempo hari.Kedua peneliti itu telah menghasilkan kajian tentang Sistem Distribusi Global (GDS). Sistem ini menjadi tulang punggung sistem pemesanan tiket online yang difasilitasi agen travel maupun maskapai penerbangan.Proses pemesanan tiket secara online di manapun sama: seseorang membayar tiket untuk rute tertentu, lalu agen atau maskapai akan mengirim kode enam digit. Kode itu bisa digunakan pelanggan, dilengkapi nama belakang sang pemesan, ke situs manapun untuk mengetahui informasi penerbangan mereka. Tanpa kita sadari, sebetulnya berbekal enam digit kode itu kita bisa mengubah jadwal penerbangan di situs manapun, tanpa harus mengakses situs asal pembelian.Di sinilah letak masalahnya. Kode enam digit terlalu mudah diurai oleh bot-bot khusus, yang bisa melacak permutasi jutaan kemungkinan angka serta mencari tahu nama belakang setiap orang di muka bumi ini. Beberapa sistem GDS tidak membatasi upaya akses terhadap pemesanan tertentu. Artinya, jika ada keganjilan akses tiket berkali-kali dalam satu menit, maskapai sudah terlambat melindungi kerahasiaan data pelanggannya.
Iklan
Masalah lainnya, kode pemesanan tiket maskapai biasanya tidak mengandung angka satu atau nol untuk menghindari kebingungan komputer terhadap varian I atau O. Nohl menyatakan kode penerbangan juga jarang sekali menggunakan huruf besar atau karakter huruf tersendiri. Semua faktor ini, menurut Nohl, akan memudahkan peretas berniat jahat untuk menebak apa saja kode yang bisa diakses dalam sebuah penerbangan di hari yang spesifik. Ujung-ujungnya, tanpa harus mengutak-atik jadwal terbang, seorang hacker setidaknya masih sangat mudah mencari tahu identitas si pemesan tiket.Kode-kode itu juga sangat mudah dilacak, karena selalu tercetak di boarding pass atau di bagasi orang-orang.Saat melakukan investigasi bersama stasiun televisi Jerman, ARD, peneliti kelemahan sistem booking maskapai berhasil mengubah jadwal penerbangan seorang reporter. Tak sekedar itu, Nohl berhasil menempatkan sang reporter duduk di bangku samping seorang politikus terkenal Jerman."Kami hanya butuh menebak sekian juta nama belakang yang mirip, sehingga bisa menemukan sang senator itu dalam sebuah jadwal penerbangan," kata Nohl.Selain risiko pencurian data pelanggan, kelemahan sistem ini bisa digunakan oleh orang jahat untuk meraup keuntungan finansial. Peretas mungkin saja mengambil data terbang seorang pelanggan (frequent flyer) menguntungkan dirinya sendiri. Hacker juga bisa mengakali sistem sehingga memperoleh voucher, lalu memesan penerbangan untuk mereka sendiri.Beberapa maskapai mengaku sudah mendengar paparan Nohl, dan bersiap menerapkan sistem keamanan siber yang lebih baik. Masalahnya, sistem pemesanan tiket internasional dengan enam kode digitnya sejak awal tidak dirancang sesuai alam pikir Internet. Sebagian besar maskapai juga merasa nyaman dengan mekanisme tiket yang sekarang."Sejauh ini belum ada langkah yang jelas dari industri untuk mencari sistem yang lebih baik melindungi keamanan data pelanggan," kata Nohl.