Home  »  Tips & Guide   »  
Tips & Guide

Suka Unggah Foto Tiket Pesawat ke Media Sosial? Waspada, Peretas Bisa Akses Data Pribadi Anda

[Foto: seriouslytravel.com]
Banyak cara yang dilakukan orang untuk mengekspresikan kebahagiaan ketika berpelesiran. Salah satunya adalah memotret dan mengunggah tiket pesawat ke media sosial. Namun, tahukah Anda bahwa tindakan ini ternyata mengandung banyak bahaya?

Peneliti dari perusahaan keamanan Cyber Security Research Lab, Karstein Nohl dan Nemanja Nikodejevic mengungkapkan bahaya yang bisa terjadi jika mengunggah foto tiket pesawat ke media sosial. Menurut penemuan mereka, penyebabnya adalah adanya celah keamanan dalam sistem yang digunakan untuk menangani booking penerbangan.

Seperti diketahui, setiap tiket memiliki kode booking yang tercetak dan tercatat dalam Global Distributed Systems (GDS). GDS adalah istilah untuk menyebut sistem yang mengelola booking penerbangan di seluruh dunia. Jenis sistem GDS bermacam-macam, tetapi 90 persen penerbangan di dunia memakai sistem milik Amadeus, Sabre, dan Travelport.

Menurut Nohl dan Nikodejevic, semua GDS dibuat dari sistem lama yang banyak dipakai pada era 70-an dan 80-an. Tidak ada perubahan apapun dalam sistem lama tersebut, melainkan hanya disatukan dalam infrastruktur web modern dan memakai otentifikasi yang sama tuanya.

Setiap kali penumpang memesan sebuah tiket, maka GDS akan menandainya dengan kode enam digit. Kode tersebut juga dipakai sebagai kode booking, yang biasanya tercetak di tiket dan kertas penanda barang bawaan.

Di sinilah letak masalahnya. Kode enam digit tersebut juga berguna untuk mengakses informasi pribadi pemiliknya. Peretas cukup mencatat kode tersebut, lalu dengan cara tertentu akan bisa memakainya untuk menemukan data pribadi penumpang yang tersimpan di GDS, seperti nomor kartu kredit, telepon, alamat, dan nama lengkap.


Masalah lainnya, kode pemesanan tiket penerbangan biasanya tidak mengandung angka satu atau nol untuk menghindari kebingungan komputer terhadap varian I atau O. Nohl mengatakan, kode penerbangan juga jarang menggunakan huruf besar atau karakter huruf tersendiri.

Semua faktor ini, menurut Nohl, akan memudahkan peretas berniat jahat untuk menebak apa saja kode yang bisa diakses dalam sebuah penerbangan di hari yang spesifik. Ujung-ujungnya, tanpa harus mengutak-atik jadwal terbang, seorang peretas setidaknya masih sangat mudah mencari tahu identitas si pemesan tiket.

Lebih parahnya lagi, menurut Nohl dan Nikodejevic, peretas yang memiliki kode booking juga bisa memanfaatkannya untuk meraup keuntungan finansial. Peretas mungkin saja mengambil data terbang seorang pelanggan (frequent flyer) untuk menguntungkan dirinya sendiri. Atau mungkin saja si peretas mengubah jadwal penerbangan tanpa diketahui, atau membatalkan dan menukarnya dengan hal lain.

Mereka mengatakan, biasanya sistem GDS dan situs milik maskapai penerbangan tidak memiliki lapisan keamanan yang kuat. Akses menuju informasi pribadi penumpang bisa dilakukan dengan mudah, tanpa harus menggunakan identitas spesifik. Untuk melakukan pencarian identitas yang tersimpan di dalamnya, sistem tidak membatasi berapa kali orang bisa melakukannya. Sekali masuk, peretas juga bisa mengakses fitur pencarian identitas berulang kali.

Nohl dan Nikodejevice mengatakan bahwa solusi untuk masalah ini cukup sederhana, yaitu perusahaan perlu keamanan cyber yang lebih baik. Contohnya, membuat akses ke riwayat penerbangan hanya bisa diakses alamat IP tertentu, lalu memasang captcha untuk menghalangi pembobolan.

Beberapa maskapai penerbangan mengaku sudah mendengar paparan Nohl, dan bersiap menerapkan sistem keamanan cyber yang lebih baik. Masalahnya, enam kode digit dalam sistem pemesanan tiket internasional sejak awal tidak dirancang sesuai alam pikir internet. Selain itu, sebagian besar maskapai penerbangan juga merasa nyaman dengan mekanisme tiket yang sekarang.

Jadi bisa Anda bayangkan, betapa bahayanya jika suka mengunggah foto tiket pesawat ke media sosial, bukan?