BABAT POST – Buruknya sistem keamanan siber nampaknya menjadi lahan bisnis baru bagi para hacker untuk mencuri data sistem booking online tiket pesawat tidak memiliki keamanan yang memadai untuk menghentikan kriminal siber mengubah informasi penerbangan atau mencuri hadiah yang didapat pengguna, lapor para ahli IT.
Masalah ini muncul karena kode 6 angka untuk mengidentifikasi penumpang pada sistem booking mudah untuk ditebak. Dua peneliti mendemonstrasikan kelemahan ini dengan mengubah penerbangan dan tempat duduk yang telah dipesan oleh seorang wartawan.
Penemuan ini kemudian dipresentasikan di Chaos Communications Congress di Jerman. Dalam sebuah blog, Karsten Nohl dan Nemanja Nikodijevic dari Security Research Lab (SRL) mengatakan, sistem komputer pada sistem booking tiket pesawat digunakan sejak 1970-an dan 1980-an.
Meskipun layanan ini telah diperbarui dengan layanan web, ia masih tidak memiliki sistem keamanan untuk mengatasi serangan siber, kata para peneliti tersebut.
Secara khusus, mereka menambahkan, sistem booking tidak dilengkapi dengan fitur untuk memeriksa atau melakukan autentikasi orang yang hendak mengakses informasi penerbangan. Tidak hanya itu, hanya ada sedikit sistem yang membatasi berapa kali seseorang dapat mengakses informasi penerbangan.
Kelemahan ini bisa dieksploitasi, kata kedua peneliti itu, karena kode yang digunakan untuk mengidentifikasi penumpang dan informasi mereka menggunakan sekumpulan karakter yang sangat terbatas, membuatnya mudah ditebak. Sehingga, seseorang bisa membanjiri server dengan permintaan mengakses informasi penumpang untuk mengetahui kodenya.
“Hanya dengan nama keluarga penumpang, kode booking mereka bisa ditemukan di internet dengan mudah,” tulis mereka, seperti yang dikutip dari BBC.
Para penyerang dapat mencuri informasi pribadi, mengambil keuntungan yang didapat oleh orang yang sering berpergian atau menggunakan data yang mereka temukan untuk melakukan serangan phishing. Di beberapa kasus, kata Nohl, sang penyerang bisa mengubah informasi penerbangan sehingga mereka bisa pergi secara gratis.
Kedua peneliti itu mendorong maskapai penerbangan dan agen travel untuk segera melindungi data pelanggan mereka. Langkah pertama adalah membatasi jumlah akses ke informasi pemesanan tiket tertentu.
