Sebuah maskapai penerbangan yang membiarkan data perjalanan seluruh penumpangnya rentan terhadap peretas akan menjadi sasaran empuk bagi kegiatan spionase. Yang kurang jelas, tapi mungkin lebih berguna bagi para mata-mata itu, ialah akses ke layanan perjalanan premium yang menjangkau 10 maskapai berbeda, meninggalkan informasi penerbangan rincinya terbuka bagi pencuri data, dan tampaknya banyak digunakan oleh diplomat internasional.
Itulah yang ditemukan oleh sekelompok peneliti keamanan siber dalam bentuk Airportr, sebuah layanan bagasi berbasis di Inggris yang bekerja sama dengan maskapai untuk memungkinkan pengguna—kebanyakan dari Inggris dan Eropa—membayar agar koper mereka dijemput, didaftarkan, dan dikirim ke tujuan. Peneliti dari firma CyberX9 menemukan bahwa bug sederhana di situs web Airportr memungkinkan mereka mengakses hampir semua informasi pribadi pengguna, termasuk rencana perjalanan, atau bahkan mendapatkan hak admin yang memungkinkan peretas mengalihkan atau mencuri bagasi dalam perjalanan. Dari sedikit sampel data pengguna yang mereka tinjau dan bagikan dengan WIRED, mereka menemukan apa yang tampaknya merupakan informasi pribadi dan catatan perjalanan sejumlah pejabat pemerintah serta diplomat dari Inggris, Swiss, dan AS.
“Siapa pun bisa atau mungkin telah mendapatkan akses admin super penuh atas seluruh operasi dan data perusahaan ini,” ujar Himanshu Pathak, pendiri dan CEO CyberX9. “Kerentanannya mengakibatkan bocornya informasi rahasia pribadi semua pelanggan maskapai di seluruh negara yang menggunakan layanan ini, termasuk kontrol penuh atas semua pemesanan dan bagasi. Karena sekali Anda jadi super-admin di sistem paling sensitif mereka, Anda bisa melakukan apa saja.”
CEO Airportr, Randel Darby, mengonfirmasi temuan CyberX9 dalam pernyataan tertulis kepada WIRED, tetapi mencatat bahwa Airportr telah memperbaiki kerentanan tersebut beberapa hari setelah peneliti memberi tahu perusahaan tentang masalah itu pada April lalu. “Data hanya diakses oleh peretas etis untuk merekomendasikan perbaikan keamanan Airportr, dan respons cepat kami memastikan tidak ada risiko lebih lanjut,” tulis Darby. “Kami sangat serius dalam melindungi data pelanggan.”
Di sisi lain, peneliti CyberX9 membantah bahwa kesederhanaan kerentanan yang mereka temukan berarti tidak ada jaminan peretas lain belum mengakses data Airportr sebelumnya. Mereka menemukan bahwa kerentanan web yang relatif dasar memungkinkan mereka mengubah kata sandi pengguna mana pun hanya dengan alamat email—dan mereka juga bisa menebak alamat email secara brute-force tanpa batasan kecepatan di situs. Akibatnya, mereka bisa mengakses data termasuk nama, nomor telepon, alamat rumah, rencana perjalanan rinci dan riwayatnya, tiket pesawat, boarding pass, detail penerbangan, gambar paspor, serta tanda tangan.
Dengan mendapatkan akses ke akun admin, peneliti CyberX9 menyebut peretas juga bisa memanfaatkan kerentanan itu untuk mengalihkan bagasi, mencurinya, atau bahkan membatalkan penerbangan di situs maskapai dengan menggunakan data Airportr untuk masuk ke akun pelanggan di situs tersebut. Para peneliti mengatakan mereka juga bisa mengirim email dan SMS sebagai Airportr—risiko phishing yang potensial. Airportr memberi tahu WIRED bahwa mereka memiliki 92.000 pengguna dan mengklaim di situs webnya telah menangani lebih dari 800.000 koper pelanggan.