Masalah bug dan kerentanan sebuah situs web acap kali terjadi. Bahkan hal ini bisa berakibat pada kebocoran data penting. Dan insiden seperti ini belum lama telah terjadi di Indian Railway Catering and Tourism Corporation (IRCTC).
Baca juga: Lagi! Penumpang Lakukan Travel Hack Guna Pangkas Bobot Bagasi
Yang mana IRCTC mengalami Kerentanan Insecure Object Direct References (IDOR) yang kritis di situs web mereka. Bahkan kerentanan ini memungkinkan seseorang untuk mengakses detail perjalanan penumpang lain.
Akibat hal tersebut, membuat seorang siswa sekolah membantu IRCTC memperbaiki bug pada platform tiket online yang bisa mengungkap informasi jutaan penumpang itu. Dilansir KabarPenumpang.com dari thehindu.com (21/9/2021), siswa itu bernama P. Renganathan yang adalah seorang murid dari sekolah swasta di Tambaram di Chennai, India.
Menurutnya, saat dia memesan tiket kereta api dengan masuk ke portal milik IRCTC beberapa waktu lalu, dia menemukan sebuah kerentanan tertentu yang dapat membahayakan fitur kemanan. Renganathan menyebutkan, penumpang lain bisa mengakses nama, jenis kelamin, usia, nomor PNR, detail kereta, stasiun keberangkatan dan tanggal perjalanan.
“Karena kode back-end-nya sama, peretas bisa memesan makanan, mengubah stasiun keberangkatan, dan bahkan membatalkan tiket tanpa sepengetahuan penumpang yang bonafid. Layanan lain seperti pariwisata domestik atau internasional, tiket bus dan pemesanan hotel akan dimungkinkan di profil pengguna penumpang lain. Yang terpenting, ada risiko kebocoran database jutaan penumpang yang sangat besar,” kata Renganathan.
Untungnya masalah tersebut bisa diselesaikan pada 30 Agustus lalu. Untuk diketahui, adanya masalah ini Renganathan langsung melaporkan kerentanan ke CERT, India. Lalu, lima hari kemudian, bug tersebut diperbaiki dan diakui oleh IRCTC.
Baca juga: Sistem Tiket di-Hack, Metro di San Francisco Terpaksa Gratiskan Perjalanan
Karena bantuanya itu, remaja 17 tahun tersebut telah mendapat pengakuan dari banyak pihak seperti LinkedIn, Perserikatan Bangsa-Bangsa, Nike dan Lenovo antara lain untuk melaporkan kerentanan keamanan pada aplikasi web mereka. Insiden ini kemudian membuat Renganathan ingin mengejar karir di bidang Ilmu Komputer, sambil melanjutkan penelitian independen tentang keamanan aplikasi web.
