Technews Uncategorized

E-Ticketing Flaw Mengekspos Data Penumpang Maskapai ke Peretas

Sistem e-tiket dari delapan maskapai, termasuk Southwest Airlines dan maskapai Belanda KLM, memiliki kerentanan yang dapat mengekspos informasi pengidentifikasi pribadi (PII) penumpang, vendor keamanan seluler Wandera melaporkan Rabu.

Mereka menggunakan tautan yang tidak dienkripsi yang bisa diretas oleh peretas dengan mudah. Peretas kemudian dapat melihat dan, dalam beberapa kasus, bahkan mengubah detail pemesanan penerbangan korban, atau mencetak boarding pass mereka.

Air France, Vueling, Jetstar, Thomas Cook, Transavia dan Air Europa juga memiliki masalah ini, menurut Wandera.

“Wandera menyelidiki sistem e-ticketing yang digunakan oleh lebih dari 40 maskapai global,” kata Michael Covington, VP produk perusahaan.

“Hanya organisasi yang memiliki waktu yang memadai untuk menanggapi pengungkapan tanggung jawab kami yang termasuk dalam daftar maskapai yang terkena dampak saat ini,” katanya kepada TechNewsWorld.

Wandera memberi vendor hingga empat minggu untuk memberikan tambalan atau perbaikan yang relevan sebelum secara terbuka mengungkapkan kerentanan.

Perusahaan telah berkomunikasi dengan “beberapa maskapai yang terkena dampak” tetapi belum dapat memverifikasi bahwa perbaikan telah dilaksanakan, kata Covington.

   Menemukan Cacat

Wandera mengidentifikasi kerentanan pada awal Desember, setelah mengetahui bahwa pelanggan yang mengakses sistem e-ticketing dari salah satu dari delapan maskapai penerbangan telah dikirimi rincian penumpang terkait perjalanan tanpa enkripsi.

Ia kemudian melihat apakah sistem e-ticketing maskapai lain juga rentan.

Wandera memberi tahu maskapai yang terkena dampak karena mendokumentasikan kerentanan.

Ini juga berbagi temuannya dengan lembaga pemerintah yang bertanggung jawab atas keamanan bandara.

Detail Kerentanan

Tautan check-in yang tidak terenkripsi dari maskapai penerbangan yang ditunjuk mengarahkan penumpang ke situs di mana mereka secara otomatis login ke fitur check-in untuk penerbangan mereka. Dalam beberapa kasus, mereka dapat membuat perubahan tertentu pada pemesanan mereka dan mencetak boarding pass mereka.

Setelah seorang penumpang mengakses tautan check-in yang rentan, seorang hacker di jaringan yang sama dapat mencegat kredensial yang memungkinkan akses ke sistem tiket elektronik.

Dengan menggunakan kredensial tersebut, seorang hacker dapat mengunjungi sistem e-ticketing di titik mana pun, bahkan beberapa kali, sebelum penerbangan lepas landas dan mengakses semua informasi yang dapat diidentifikasi secara pribadi terkait dengan pemesanan.

“Kerentanan ini tidak memerlukan serangan man-in-the-middle atau instalasi malware untuk dieksploitasi,” kata Covington. “Siapa pun yang menggunakan jaringan yang sama dengan penumpang – nirkabel atau kabel – akan dapat mencegat kredensial untuk situs e-ticketing.”

Airlines “tidak boleh memberikan tautan dalam email yang menyajikan data PII tanpa otentikasi,” kata Anthony James, kepala kantor strategi di CipherCloud.

“Ini tidak masuk akal bagi kami,” katanya kepada TechNewsWorld.

Sistem maskapai yang berbeda memaparkan berbagai jenis data.

Data yang terbuka dapat mencakup yang berikut:

  • Alamat email
  • Nama depan dan belakang
  • Informasi paspor atau ID – termasuk nomor dokumen, negara penerbit dan tanggal kedaluwarsa
  • Referensi pemesanan
  • Nomor dan waktu penerbangan
  • Penugasan kursi
  • Pilihan bagasi
  • Kartu masuk penuh
  • Rincian kartu kredit parsial
  • Rincian pemesanan perusahaan perjalanan

Bahaya yang Ditimbulkan

Setelah mengakses check-in penumpang, peretas tidak hanya mendapatkan akses ke PII korban, tetapi juga dapat menambah atau menghapus tas tambahan, mengubah kursi yang dialokasikan, dan mengubah nomor ponsel atau email yang terkait dengan pemesanan.

Kualitas dipertanyakan penyaringan boarding pass di gerbang beberapa bandara meningkatkan kemungkinan bahwa seorang hacker atau penjahat dapat mencetak boarding pass korban dan mencoba untuk menaiki penerbangan terjadwal dengannya, kata Wandera.

Di sisi lain, peretas mencari target yang menawarkan pengembalian investasi tinggi, kata CipherCloud James. “Mencegah email dengan tautan tiket mendapat PII dari hanya satu pelancong.”

Lebih lanjut, “semuanya tergantung pada boarding dan ID gambar untuk mendapatkan keamanan masa lalu,” kata James. “ID gambar tetap menjadi pendukung prosedur keamanan.”

Bahaya Jaringan yang Jelas dan Ada

Pakar keamanan selama bertahun-tahun telah menyarankan para pelancong untuk menghindari menggunakan jaringan WiFi publik dan jaringan hotel untuk komunikasi penting.

“Lalu lintas jaringan lebih mudah dicegat pada jaringan nirkabel yang tidak terenkripsi atau pada jaringan kabel hotel atau kantor,” kata Covington dari Wandera.

Ini “lebih menantang bagi penyerang untuk mengamati koneksi yang terjadi melalui jaringan operator,” katanya, tetapi maskapai penerbangan harus “mengatasi beberapa masalah keamanan mendasar” sendiri.

Datang ke Amerika

KLM dan AirFrance “sangat terintegrasi sebagai bagian dari perusahaan yang sama,” kata Colin Bastable, CEO Lucy Security.

Mereka bermitra dengan Delta Airlines melalui SkyTeam, “memperkenalkan potensi risiko pihak ketiga ke pasar domestik Amerika Serikat melalui delapan hub A.S. di Delta,” katanya kepada TechNewsWorld.

Berbagi kode dengan Air France dan KLM “mungkin memiliki konsekuensi mahal untuk Delta seandainya terjadi pelanggaran data sebagai akibat dari masalah ini” kata Bastable, karena peraturan GDPR “mengambil keuntungan dari pendapatan global karena pelanggaran data.”

Lebih lanjut, peraturan kepatuhan baru yang diusulkan di AS, seperti Undang-Undang Penyebaran Data Amerika dan Undang-Undang Privasi Konsumen California tahun 2018 dapat membuat vendor bertanggung jawab atas penalti dan pelanggaran jika mereka mengekspos data PII tanpa memerlukan otentikasi, kata CipherCloud’s James.

Cara Menjaga PII Aman

Berikut adalah beberapa langkah yang direkomendasikan Wandera agar maskapai penerbangan harus ambil:

  • Enkripsi seluruh proses check-in;
  • Membutuhkan otentikasi pengguna untuk semua langkah di mana PII dapat diakses, terutama ketika itu dapat diedit; dan
  • Gunakan token satu kali untuk tautan langsung dalam email.
  • “Jika tautan membawa Anda langsung ke catatan nama penumpang tanpa login, itu benar-benar masalah potensial,” kata James CipherCloud. “Kamu harus selalu memerlukan login dan otentikasi.”

Pengguna harus memiliki layanan keamanan seluler aktif yang digunakan untuk memantau dan memblokir kebocoran data dan serangan phishing, saran Wandera.

Penumpang di delapan maskapai yang bernama “harus mencetak boarding pass mereka di rumah,” saran Lucy Security, “dan hindari menggunakan mobile check-in di bandara.”

Leave a Reply

Your email address will not be published. Required fields are marked *