Beberapa hari lalu saya membaca posting dari member di milis keamanan informasi, tentang proof of concept mengakses data privacy seseorang dengan cara yang tidak pernah saya duga sebelumnya hehe. Salut, buat pembuat posting yang bisa berpikir sedalam ini. Mau tau celah keamanannya? Berikut ini potongan pesan dari pembuat posting di milis tsb:
—- potongan milis —-
Saya adalah pelanggan beberapa perusahaan taksi, dan saya sangat puas dengan pelayanan dari operator taksi di Indonesia. kebetulan saya bekerja di bidang IT security, sehingga saya saya sedikit belajar tentang mengenai privacy data. Beberapa waktu yg lalu, (walaupun sebenernya ini saya yakin sudah lama) saya menemukan celah cukup berbahaya di sistem call centre operator taksi.
Prosedur yang normal saat memesan taksi adalah sebagai berikut :
1. kita menelpon operator taksi / call centre
2. kita menyebutkan NOMER TELPON KITA
3. nah ini, si operator biasanya langsung menyebutkan ” Oh.. ini dari pak X, alamat di jalan Street, RT RW sekian st… ”
Tapi ada satu hal yang mengganjal, dan ini saya buktikan sendiri. di POINT ke 3 ini, ini yg berbahaya, karena :
“SESEORANG BISA BERPURA PURA SEBAGAI SI CUSTOMER TERSEBUT DENGAN CUKUP BERMODALKAN NOMER TELPON YANG DIA KETAHUI ,LALU MENDAPAT ALAMAT LENGKAP DARI “TARGET” nya:
dan ini saya buktikan sendiri beberapa hari yang lalu, saya mencoba berpura2 sebagai teman saya, dan saya menyebutkan nomer telpon teman saya, dan secara ‘reflek’ operator menyebutkan alamat detail dari rumah teman saya tersebut.
—- potongan milis —-
Saya jadi teringat Telkom 108, call center Telkom yang bisa memberikan kita informasi nomer telepon tempat tertentu jika kita mengetahui alamat suatu tempatnya. Bedanya dengan Telkom 108, call center taksi malah melakukan “resolv” sebaliknya, yaitu dengan berbekal nomor telepon.
Berikut ini sebuah rekayasa cerita lucu saja, tapi possible terjadi jika sistem call center taksi yang bisa di ‘exploitasi’ seperti ini:
Pak Joni adalah suami dari Nyonya Susi (NS). Suatu hari nyonya Susi yang mantan IT-Security melakukan inspeksi suami nya suka main dimana saja memanfaatkan call center taksi XYZ (CC)…
NS: Halo, saya mau pesen taxi
CC: Nomer teleponnya berapa bu?
NS: 081xxxxxxxxx (menyebut nomor telepon suami nya)
CC: Oke, bu. Dengan Pak Joni ya. Mau dijemput di Gedung Garuda Jalan ABC?
NS: Eehhmm.. ada tempat lainnya kan?
CC: Mau kita jemput di Pijat Nikmat Nirwana Jalan DEF itu ya bu?
NS: Grrrrrrr…. *tuuut tuuut tuuut* (menutup telepon)
Hehehehe, semoga sistem call center taksi nya segera dibenahi…