Akhir April ini merupakan momentum terburuk bagi Comic Frontier untuk yang kedua kalinya, setelah menggeser tanggal pelaksanaan mereka beberapa waktu lalu. Kali ini, lebih dari ribuan tiket pengunjung Comic Frontier 16 terdampak peretasan atau hack akibat sistem pemesanan tiket online yang bermasalah.
Lantas bagaimana insiden ini dapat terjadi, dan bagaimana tanggapan penyelenggara terhadap masalah ini? Simak fakta berikut ini!
Banyak Tiket Calon Pengunjung Comic Frontier Bocor
Dalam pos yang diunggah akun Freax di media sosial Facebook, terungkap bahwa tiket Comic Frontier 16 yang dibeli secara online bocor begitu saja.
Terdapat dua screenshot percakapan sejumlah pegiat teknologi dari aplikasi terenkripsi Telegram, yang mengaku telah melakukan dump pada data tiket pengunjung Comic Frontier melalui celah pada platform pembelian tiket online Kiostix. Bahkan, salah satu pengguna mengaku telah menyimpan banyak tiket online sejak hari Minggu (16/4) lalu.
Postingan yang diunggah pada Rabu (19/4) pagi tersebut sejauh ini telah dibagikan oleh lebih dari 300 orang, dengan sebagian orang mengkhawatirkan insiden ini dapat berdampak pada penyelenggaraan acara di waktu yang akan datang.
Sistem Kiostix Diduga Tidak Dijaga dengan Aman
Bagaimana ribuan tiket pengunjung Comifuro 16 yang dibeli secara online melalui Kiostix bisa bocor begitu saja? Nawala Karsa menemukan bahwa para pegiat teknologi di aplikasi Telegram tersebut menemukan celah dari sistem yang tidak aman tersebut.
Nomor ID tiket online tersebut dibuat berdasarkan penomoran dengan metode Unix Time. Metode ini sendiri digunakan di beragam jenis teknologi, termasuk pada komputer dan ponsel yang digunakan sehari-hari oleh kamu. Umumnya, nomor tersebut hanya bisa diakses oleh pembeli saja. Namun dalam kasus ini, hal tersebut tidak berlaku.
Celah atau bug dalam sistem Kiostix ini memungkinkan seseorang untuk dapat mengakses tiket yang telah dibeli oleh orang lain secara daring tanpa otentikasi, atau verifikasi terlebih dahulu. Selama orang lain memiliki Unix Time yang sesuai dengan nomor ID tersebut, orang tersebut mampu mengakses bahkan mengunduh beragam tiket yang ada.
Pada dasarnya, tiket Comifuro 16 yang telah dibeli oleh calon pengunjung akan dapat digunakan oleh orang yang tidak bertanggung jawab.
Moe turut menekankan bahwa kebocoran 70 ribu data tiket online ini tak hanya berdampak pada acara Comic Frontier 16. “Hampir dari 70 ribu tiket itu bisa diambil [disalahgunakan],” jelasnya, “dan itu juga termasuk tiket selain event Comifuro”.
Tiket Bocor dengan Cara Bruteforce dan Sniffing API
Celah tersebut pertama kali ditemukan oleh salah satu pegiat teknologi bernama Moe (bukan nama sebenarnya), yang awalnya berniat untuk membeli sebanyak 10 tiket gelaran Comifuro 16 yang akan dilaksanakan pada awal bulan Mei mendatang.
Moe mengaku bahwa Ia menemukan adanya kejanggalan dalam sistem pemesanan Kiostix setelah memesan tiket acara Comifuro. “Terutama dari Order ID [Nomor ID Tiket, RED] tersebut,” jelasnya.
Setelah ditelusuri, ditemukan bahwa sejumlah tiket yang telah Ia beli memiliki kesamaan pada awal digit atau nomor tersebut. Dengan informasi yang Ia dapatkan dari tiket tersebut, Ia pada awalnya menggunakan bruteforce untuk menggali kemungkinan besar potensi kebocoran tiket Comifuro melalui metode ini. “Abis itu [saya] sekalian lakukan sniff,” ungkap Moe, “dapat deh API buat get ticket via [mengambil tiket melalui] Order ID tanpa otentikasi [verifikasi akun, RED].”
Setelah melakukan hal tersebut, Moe mendapatkan sebanyak 70 ribu tiket online termasuk milik calon pengunjung Comifuro 16 melalui hacking yang Ia lakukan. Ia sendiri membeberkan temuannya di grup Telegram dimana ia bergabung untuk ditindaklanjuti. Selain itu, sebagai pembelajaran pada publik, pegiat teknologi lain berinisial “AI” juga membuat sebuah skrip dengan bahasa pemograman C, yang kemudian Ia bagikan melalui platform pengembangan kode milik publik yakni Github.
Skrip tersebut pada akhirnya ditutup oleh pegiat teknologi “AI” lantaran Moe sudah melaporkan masalah tersebut kepada pihak penyelenggara, serta telah viral di media sosial.
Comic Frontier Belum Berikan Tanggapan, Kiostix Pastikan Data Aman
Moe sebenarnya telah mengirimkan laporan kepada penyelenggara Comic Frontier beserta pengelola sistem pemesanan tiket Kiostix. Sehari setelah berita ini diangkat, Kiostix resmi mengumumkan melalui media sosial mereka bahwa seluruh data pengguna beserta tiket yang telah dibeli tetap terjamin keamanannya.
Dalam server Discord yang dikelola oleh penyelenggara acara, sejumlah pengguna yang bergabung turut mengapresiasi tindakan Moe karena telah menjelaskan adanya potensi kebocoran data berupa tiket pengunjung Comifuro 16.
Namun, pada awal isu ini diungkapkan kepada publik, terdapat segelintir pengguna yang menyalahkan Moe atas tindakan yang Ia lakukan tersebut. Penyelenggara acara disisi lain belum memberikan keterangan mengenai hal ini.
UPDATE 21.13 WIB: Nawala Karsa menambahkan keterangan baru dari pegiat teknologi Moe atas kebocoran data yang terjadi di Kiostix.
UPDATE 21.20 WIB: Nawala Karsa merubah seluruh judul berita (kecuali infografis yang menyusul nanti), atas perkembangan situasi yang terjadi.
UPDATE 19.12 WIB, 20/4: Nawala Karsa menambahkan keterangan dari Kiostix terkait kebocoran data yang terjadi, beserta kelanjutan situasi kondisi pada server Discord Comic Frontier.
Nawala Karsa akan memperbaharui informasi ini dalam waktu dekat. Apabila anda merupakan salah satu dari pembeli tiket Comifuro 16 melalui Kiostix yang terdampak akibat potensi kebocoran data ini, silahkan hubungi Call Center Kiostix pada pranala berikut.