Jutaan Catatan Penumpang Lion Air Beredar di Forum Online

Puluhan juta catatan dari penumpang dua perusahaan penerbangan milik Lion Air telah beredar di forum pertukaran data selama setidaknya satu bulan. Catatan tersebut disimpan dalam server Amazon yang terbuka di web (tanpa dilindungi).

Catatan tersebut muncul dalam dua database, satu dengan 21 juta catatan, yang lain dengan 14 juta entri, dalam direktori yang menyimpan file cadangan yang dibuat pada Mei 2019 sebagian besar untuk Malindo Air dan Thai Lion Air. File cadangan lain berasal dari penumpang Batik Air, sebuah maskapai penerbangan yang organisasi induknya juga Lion Air.

Rincian yang bocor termasuk ID penumpang dan reservasi, alamat fisik, nomor telepon, alamat email, nama, tanggal lahir, nomor telepon, nomor paspor, dan tanggal kedaluwarsa paspor. BleepingComputer tidak dapat menemukan pengumuman dari Lion Air atau maskapai anak perusahaannya tentang insiden kebocoran data tersebut.

Peneliti Under the Breach menerbitkan sampel kedua database tersebut, memastikan untuk menutupi detail pribadi para penumpang Basis data kedua memiliki 14 juta catatan yang meliputi nama, tanggal lahir, nomor telepon, nomor paspor dan tanggal kedaluarsa paspor.

Tidak jelas kapan data pertama kali diakses, tetapi satu pengguna yang mengumpulkan informasi sensitif dari berbagai forum pertukaran data yang diterbitkan di situs web dan punya tautan ke server AWS terbuka pada 10 Agustus 2019.

Dua database dari penyimpanan cloud masih beredar, meskipun, tersedia atas permintaan. BleepingComputer melihat indeks direktori terbuka dan memperhatikan bahwa file cadangan, yang terbaru dari tangga 25 Mei, dengan nama file PaymentGateway. Tambahan file cadangan ini termasuk referensi untuk program hadiah loyalitas perusahaan dan layanan pemesanan online GoQuo yang juga menyediakan solusi analitik pelanggan.

BleepingComputer tidak mendapatkan akses ke konten file cadangan, tetapi dari nama entri saja menunjukkan bahwa informasi yang sangat sensitif terbuka dan dapat diakses oleh individu yang tidak sah. Gabungan data pribadi yang telah dikonversi menjadi teks yang jelas memenuhi syarat sebagai risiko privasi bagi pemiliknya dan memiliki kemungkinan besar digunakan oleh aktor tak bertanggung jawab untuk keuntungan finansial.

Sumber: Bleeping Computers

Sumber Foto: The Telegraph