Tiket Mudik dan Titik Rawan Keamanan Data Pribadi

Sebentar lagi kita merayakan Hari Raya Idul Fitri. Sebagian masyarakat akan mudik. Mobilitas menuju kampung halaman kali ini diperkirakan jauh melebihi tahun lalu. Nuansa mudik bisa membuat suasana rindu membuncah. Relasi yang selama ini hanya melalui media sosial akan semakin lengkap ketika bertemu secara nyata.

Sebagai seseorang yang aktif di media sosial, Adi (bukan nama sebenarnya) pun senang membagikan proses perjalanannya dari Jakarta ke kampungnya di Malang. Kegembiraan ini kadang kala mendorong dirinya untuk menshare proses keberangkatan termasuk boarding-pass dengan QR code-nya sambil me-mention teman di media sosial.

Kebiasaan ini terkadang membuat kita terlena mengakibatkan berkurangnya kewaspadaan terhadap keamanan data pribadi kita. Ini tidak salah, namun data QR code di tiket riskan untuk diketahui oleh pihak lain dengan mudah.

Kasus serupa ini pernah terjadi pada seorang pesohor di Negeri Kangguru. Tony Abbot, mantan PM Australia, memposting boarding pass-nya di Instagram. Tony mengucapkan terima kasih kepada seluruh awak penerbangan yang membawanya dari Tokyo ke Sydney. Postingan ini menjadi luar biasa ketika tidak lama setelah itu seorang hacker mengaku telah mengetahui data identitas Abbot melalui Boarding Pass yang bisa dilihat di Instagram.

Sang hacker menceritakan prosesnya bisa me-reveal data-data Tony tersebut dengan menggunakan booking reference number dan nama belakang pada halaman website ‘Manage Booking’ maskapai. Menggunakan kedua data tersebut, hacker memeriksa kode HTML di web browser-nya. Dengan mudahnya terlihat data mengenai nomor passport, telepon, dan komen stafnya untuk permintaan tempat duduk, dan jalur khusus.

Unggahan Tiket Pesawat Tonny Abbot (Katadata | Instagram Tonny Abbot)

QR Code yang tertera dalam boarding pass berperan untuk mengakses database kita di perusahaan penerbangan. Untuk kepentingan operasional seperti nomor penerbangan, nama, inbound-outbound airport, nomor gate, kursi (IATA Resolution 792 about Bar Code Boarding Pass or BCBP) juga tersambung ke dalam database untuk keperluan pemasaran. Dari sini data sensitif dapat dengan mudah terlacak dan terekspos oleh pihak yang tidak bertanggung jawab.

Dari kasus Abbott, hacker menghubungkan seluruh data yang sudah dipegang dengan data lain yang dapat diakses dengan mudah (i.e. Wikipedia dan social media lain).  Dengan mengetahui data pribadi tersebut, peluang untuk membuka data pribadi lebih banyak lagi terkait dengan jaringan, rekan kerja, dan email kantor pun dapat teridentifikasi.

Social Engineering

Kasus di atas menunjukkan bahwa perilaku pengguna merupakan pintu masuk terjadinya kebocoran data. Menurut Klimburg-Witjes and Wetland (2021), cybercrimes and data breach biasanya terjadi melalui manipulasi terhadap perilaku manusia baik yang disengaja maupun tidak. Istilah social engineering digunakan untuk menunjukkan bahwa faktor manusia dalam lingkungan digital merupakan celah keamanaan yang paling sering digunakan oleh penjahat cyber untuk mencuri data-data pribadi yang sensitif.

Penjahat cyber banyak memanfaatkan kerentanan pengguna ini sebagai pintu masuk untuk menjalankan aksi. Kompleksitas teknologi digital yang mungkin tidak sepenuhnya dipahami oleh pengguna menyebabkan ketidaksesuaian antara perilaku dan kebutuhan perlindungan data pribadi.

Lingkungan digital mensyaratkan pemahaman dan konsekuansi perilaku yang berbeda dengan lingkungan non-digital. Misalnya secara teknologi kita bisa mengatur privacy setting di social media, untuk memposting hanya untuk kawan terdekat. Atau, kalau kita memiliki keraguan, lebih baik jangan di-share.

Data yang Harus Diperhatikan Selama Mudik

Pemudik perlu memahami kategori data pribadi yang terdiri atas data umum dan data yang berifat khusus. Data yang bersifat umum antara lain nama lengkap; jenis kelamin; kewarganegaraan; agama; status perkawinan; dan/atau data pribadi yang dikombinasikan untuk mengidentifikasi seseorang. Sedangkan data yang bersifat khusus yaitu data kesehatan, biometrik, genetis, data anak, keuangan, dan kombinasi data lain yang dapat digunakan untuk melakukan identifikasi terhadap seseorang.

Bila awam terhadap data privacy, ada baiknya kita menjaga dengan baik dari sisi pribadi. Sementara orang yang lebih tahu dan lebih sensitif, ada baiknya memberikan peringatan kepada keluarga untuk tetap menjaga postingan di social media. Dan bagi pemangku kebijakan di perusahaan, peraturan atau edukasi untuk memberikan keterangan pada setiap copy kartu identitas pribadi (i.e. KTP, kartu keluarga, ijazah, tabungan bank, npwp, dll) wajib dilakukan.

Semuanya menjadi kesempatan bagi kita untuk belajar meningkatkan literasi data pribadi secara bijak. Sebagai orang yang senang berselancar di dunia maya, penggunaan virtual private network (VPN), atau anti-virus dengan anti-spyware juga diperlukan untuk memberikan perlindungan lebih kepada data yang kita miliki.

Aplikasi-aplikasi dari perusahaan-perusahaan pun sudah mewajibkan penggunaan multi factor authentification (MFA) yang memberikan layer tambahan untuk memverifikasi dan memvalidasi akses kepada akun kita. Kita dapat optimalkan sebaik-baiknya semua opsi di atas untuk memberikan kita ketenangan sebagai masyarakat digital.