Kategori
NEWS
Bob temukan celah kritis di API Frontier Airlines yang ekspos data pribadi penumpang hanya dengan kode boarding pass. Simak detailnya di sini.

📑 Daftar Isi

Pesawat Frontier Airlines dengan latar belakang bandara

Kerentanan API Frontier Airlines Ekspos Data Pribadi Penumpang

Penulis:Nur Hamzah
Terbit:
Diperbarui:
⏱️3 menit membaca
Bagikan:
  • Periset keamanan siber Bob temukan celah kritis di API dan website Frontier Airlines yang ekspos data pribadi penumpang hanya dengan kode boarding pass.
  • Data yang terekspos meliputi alamat rumah, detail kartu kredit, data paspor lengkap, hingga nomor TSA PreCheck, yang dapat digunakan untuk pencurian identitas.
  • Bob menghubungi Frontier pada 3 Maret, perusahaan hanya perbaiki satu kerentanan dan kirim model pesawat, namun kerentanan lain masih aktif.
  • Halaman "Manage My Booking" dan "Passengers / Edit" juga ekspos data dalam kode sumber dan API request, meski data diobskurasi untuk tampilan.
  • Nomor TSA PreCheck sangat berbahaya karena bisa digunakan lolos dari pemeriksaan keamanan bandara.

Telset.id – Seorang periset keamanan siber menemukan celah kritis pada sistem API dan website Frontier Airlines yang memungkinkan siapa pun mengakses data pribadi penumpang hanya dengan kode boarding pass. Kerentanan ini, yang diungkap oleh periset dengan nama samaran Bob, membahayakan informasi sensitif seperti alamat rumah, detail kartu kredit, data paspor lengkap, hingga nomor TSA PreCheck.

Temuan ini bermula lebih dari tiga bulan lalu ketika Bob menyadari bahwa kode boarding pass (disebut PNR) yang tercetak langsung di tiket atau dapat dipindai melalui barcode-nya sangat mudah dieksploitasi. Dengan hanya enam digit angka, PNR dapat ditebak secara berulang (brute force), sebuah metode yang ia gunakan untuk mengakses informasi beberapa penumpang lainnya.

Setelah menghubungi Frontier Airlines pada 3 Maret dan melakukan tindak lanjut pada 9 Maret, Bob mengikuti prosedur pengungkapan standar 90 hari. Perusahaan hanya memperbaiki satu kerentanan dan mengirimkan model pesawat sebagai tanda terima kasih. Namun, Bob kemudian menemukan celah tambahan yang mengekspos data lebih banyak, memicu diskusi kompensasi yang berakhir tanpa hasil memuaskan.

Mekanisme Eksploitasi yang Sederhana

Cara mengeksploitasi kerentanan ini sangat sederhana. Pelaku cukup melihat boarding pass korban, mencatat nomor PNR dan nama belakang, atau memindai barcode yang ada—semua bisa dilakukan dengan ponsel. Informasi tersebut kemudian dimasukkan ke salah satu endpoint API mobile Frontier, dan sistem akan mengembalikan respons berisi data pribadi lengkap penumpang.

Data yang terekspos meliputi alamat rumah, email, nomor telepon, tanggal lahir lengkap, data paspor, hampir seluruh informasi kartu kredit (kecuali 5 digit tengah dan CVV), riwayat pembayaran, hingga nomor TSA PreCheck. Semua informasi ini dapat digunakan untuk pencurian identitas, penguntitan (stalking), atau berbagai aktivitas kriminal lainnya.

Nomor TSA PreCheck (Known Traveler Number) menjadi perhatian khusus karena membuka kemungkinan pelaku kejahatan identitas lolos dari pemeriksaan keamanan bandara. Sementara untuk kartu kredit, dengan enam digit pertama dan empat digit terakhir yang terekspos beserta nama pemegang kartu dan tanggal kedaluwarsa, menebak lima digit tengah menjadi lebih mudah, meninggalkan kode CVV sebagai satu-satunya lapisan keamanan utama.

Kerentanan pada Halaman Manajemen Pemesanan

Bob juga menemukan bahwa halaman manajemen pemesanan (booking management pages) di website Frontier yang dapat diakses hanya dengan nomor pemesanan dan nama belakang, sama-sama mengekspos informasi pribadi dalam kode sumber dan/atau permintaan API-nya. Praktik keamanan standar mengharuskan halaman yang mudah diakses seperti ini menerapkan prinsip minimalisasi data, hanya menampilkan informasi yang benar-benar diperlukan.

Halaman “Manage My Booking” secara jelas menampilkan nama, email, dan nomor telepon dalam kode sumber. Sementara halaman “Passengers / Edit” mengungkap nama lengkap, negara, tanggal lahir, informasi paspor lengkap, dan nomor TSA PreCheck setiap penumpang. Ironisnya, ketika Frontier mencoba memperbaiki masalah pertama, versi perbaikan tersebut justru mengekspos lebih banyak informasi daripada sebelumnya.

Meskipun halaman-halaman ini mengaburkan data untuk tujuan tampilan, informasi sensitif tetap tersimpan dalam kode sumber dan panggilan API. Pelaku yang memiliki akses ke halaman tersebut dapat dengan mudah mengekstrak data tanpa terhalang oleh pengaburan visual.

Baca Juga:

Kerentanan ini menyoroti kegagalan serius dalam penerapan praktik keamanan siber di industri penerbangan. Dengan data sensitif yang mudah diakses, risiko terhadap privasi dan keamanan penumpang menjadi sangat tinggi. Frontier Airlines sendiri belum memberikan tanggapan resmi terkait temuan ini setelah diskusi kompensasi yang disebut Bob berakhir tanpa hasil.

Frontier airplane

Kasus ini menjadi pengingat bahwa keamanan sistem yang tampak sepele seperti kode boarding pass dapat menjadi pintu masuk bagi pelanggaran data massal. Bob menegaskan bahwa kerentanan kritis Frontier masih aktif dan penumpang berhak mendapatkan perlindungan yang lebih baik.

Untuk informasi lebih lanjut tentang keamanan siber dan tren teknologi terbaru, Anda dapat mengikuti perkembangan di Telset.id.

Ditulis oleh

Well, I like technology. But more than that, I like everything related to innovation. And that passion brought me here, to the house of digital media and communication, a company that engaged in Platforms & Content Creation, Publishing, and Public Relations.

Komentar

Belum ada komentar.