Hacker Panen Detail Penumpang Pesawat dengan Mudah

Para peneliti memperingatkan bahwa sistem yang digunakan untuk mengkoordinasikan pemesanan perjalanan antara penerbangan, agen perjalanan, dan situs perbandingan harga tiket penerbangan di seluruh dunia tidak aman.

Kurangnya fitur keamanan modern, baik dalam desain sistem itu sendiri dan dari banyak situs dan layanan yang mengontrol akses ke sana, membuatnya mudah bagi penyerang atau hacker untuk memanen informasi pribadi dari pemesanan, mencuri penerbangan dengan mengubah rincian tiket atau mendapatkan jutaan perjalanan udara dengan melampirkan nomor frequent-flyer baru ke pre-booked flights.

Sistem tersebut dikenal sebagai Global Distribution Systems (GDS) merupakan teknologi tahun 1960-an, ketika salah satu perusahaan pertama di bidang tersebut, yaitu Sabre didirikan. Untuk sebagian besar traveller  teknologi ini paling jelas terkait dengan enam karakter Passenger Name Record (PNR)  yang secara teratur  digunakan untuk mengaktifkan check-in secara online dan pengambilan tiket.

Sistem PNR juga merupakan rute dari banyak kelemahan. Inti dari banyak kelemahan tersebut adalah penggunaan standar hanya dua potong informasi untuk mengotentikasi pemesanan, yaitu enam karakter PNR dan nama belakang pengguna. Menurut Karsten Nohl, jika PNR dimaksudkan sebagai password yang aman, maka harus diperlakukan seperti layaknya password. Sayangnya hal tersebut tidak dilakukan, PNR tidak dirahasiakan malah dicetak pada setiap bagian dari bagasi. Pernah juga dicetak pada boarding pass lalu kemudian menghilang dan diganti dengan barcode.

Namun, semua orang tahu bahwa barcode juga mudah dibaca dengan menggunakan sejumlah aplikasi, yang berarti sebanyak 80.000 traveller yang telah memposting gambar dengan tagar #boardingpass di Instagram berada pada risiko pencurian informasi.

Masalah yang lebih besar bagi sebagian besar penumpang pesawat adalah bahwa kode enam karakter tersebut mudah ditebak. Setiap penyedia GDS (ada beberapa perusahaan, tetapi yang terbesar adalah Sabre dan Amadeus) menggunakan sistem yang berbeda untuk menghasilkan kode enam karakter tersebut, tetapi semuanya memiliki beberapa masalah yang membuat mereka lebih lemah dari password enam karakter sederhana. Misalnya, beberapa penyedia membentuk dua karakter pertama secara berurutan yang berarti semua PNR yang dihasilkan dalam satu hari akan memiliki karakter pembuka yang sama. Provider lainnya memesan beberapa kode untuk penerbangan tertentu sehingga mempersempit kisaran tebakan yang akan dibuat oleh hacker. Banyak portal di dalam sistem GDS juga memiliki fitur keamanan minimal atau setidaknya memiliki fitur keamanan minimal sampai Kohl dan Nikodijevic peneliti keamanan memberitahu mereka.

Beberapa situs web yang memiliki akses ke sistem dan memungkinkan seseorang untuk menggunakan PNR dan nama terakhir mereka untuk memeriksa status penerbangan tidak menawarkan pertahanan sama sekali terhadap serangan hacker yang bisa menebak ribuan kombinasi dalam satu menit. Penyerang bisa menggunakan akses untuk membatalkan penerbangan dalam upaya memperoleh pertukaran untuk kredit maskapai penerbangan dan kemudian menggunakannya untuk memesan tiket baru atau mereka juga bisa menambahkan nomor frequent flyer orang lain ke ratusan penerbangan dan memperoleh perjalanan udara secara gratis.

Sumber: The Guardian

Sumber Foto: ABC News