Maskapai nasional Australia, Qantas, mengonfirmasi telah mengalami serangan siber besar-besaran yang menyebabkan kebocoran data pribadi milik 5,7 juta pelanggan. Insiden ini memicu kekhawatiran mendalam mengenai keamanan siber di sektor penerbangan dan kerentanan rantai pasok digital global.

Serangan ini tidak langsung menembus sistem internal Qantas, melainkan mengeksploitasi kerentanan pada platform pusat panggilan milik pihak ketiga yang digunakan perusahaan. Data yang bocor meliputi nama, alamat email, nomor frequent flyer, alamat rumah, tanggal lahir, nomor telepon, jenis kelamin, hingga preferensi makanan pelanggan.

Serangan ini disebut-sebut sebagai contoh klasik dari taktik "island hopping", di mana peretas masuk ke dalam sistem suatu perusahaan melalui tautan rantai pasok yang lebih lemah, seperti vendor eksternal atau mitra teknologi. Setelah masuk, mereka mengeksploitasi kerentanan identitas, seperti kredensial yang dicuri, hak akses berlebihan, atau pengawasan yang buruk untuk menjangkau sistem utama.

Tim Eades, CEO Anetac, menyebut insiden Qantas sebagai “kasus buku teks” dari island hopping. “Seiring perusahaan memperkuat pertahanan internal mereka, penyerang kini beralih ke platform pihak ketiga yang sistem keamanannya seringkali lebih longgar,” ujarnya.

Menurut Praneil Kumar, pimpinan tim tanggap insiden dari Coalition Australia, pola serangan ini menunjukkan kesamaan dengan taktik kelompok Scattered Spider grup peretas yang kini fokus menyerang industri penerbangan global. Grup ini dikenal menggunakan rekayasa sosial, pencurian kredensial, pemerasan ganda, hingga eksploitasi rantai pasok.

Baca Juga: Data 2,2 Juta Orang Bocor dalam Serangan Siber yang Menyerang Raksasa Ritel Amerika

Kumar menambahkan bahwa model bisnis yang bergantung pada help desk, vendor eksternal, atau sistem akses jarak jauh sangat rentan terhadap serangan semacam ini. “Setiap bisnis dengan ketergantungan pada pihak ketiga, terutama yang tidak dilengkapi verifikasi keamanan menyeluruh, berada dalam posisi berisiko tinggi,” katanya.

Insiden ini mengungkap kelemahan mendasar dalam manajemen risiko pihak ketiga. Andrew Obadiaru, Chief Information Security Officer di Cobalt, menegaskan pentingnya beralih dari sekadar hubungan berbasis kepercayaan menjadi pendekatan berbasis pengujian berkelanjutan. Ia menyarankan penerapan red teaming dan penetration testing berkala untuk mengungkap kelemahan keamanan sebelum dimanfaatkan peretas.

Penggunaan teknologi kecerdasan buatan (AI) semakin memperparah skala dan kecepatan serangan siber. AI memungkinkan peretas menyusun kampanye phishing yang lebih meyakinkan dan mengeksploitasi kelemahan identitas dengan cepat dan otomatis. Eades memperingatkan bahwa penyebaran AI tanpa pengawasan dapat memperluas permukaan serangan dan meningkatkan risiko signifikan bagi perusahaan di seluruh dunia.

Kendati insiden seperti Qantas menjadi sorotan media, usaha kecil dan menengah (UMKM) justru menghadapi risiko yang lebih besar. Tanpa sumber daya dan infrastruktur keamanan setara perusahaan besar, UMKM seringkali tidak siap menghadapi atau memulihkan diri dari serangan siber, menjadikannya target empuk bagi para pelaku kejahatan digital.

Para ahli keamanan merekomendasikan sejumlah langkah penting bagi perusahaan dari berbagai skala, termasuk:

• Memperkuat autentikasi multi-faktor (MFA) di seluruh sistem dan aplikasi.
• Meningkatkan keamanan pada helpdesk dan pusat layanan pelanggan.
• Melakukan audit berkala dan pemantauan akses pihak ketiga.
• Menginvestasikan dalam sistem deteksi ancaman dan respons insiden 24/7.
• Menerapkan prinsip Zero Trust dan hak akses minimum (least privilege).

Insiden kebocoran data di Qantas menegaskan satu pelajaran penting: pertahanan internal saja tidak cukup. Perusahaan perlu membangun sistem keamanan siber yang menyeluruh, mencakup seluruh jaringan vendor, mitra, dan sistem digital eksternal yang terhubung. Di era digital yang semakin kompleks, menjaga integritas dan kepercayaan pelanggan berarti mengamankan setiap titik masuk yang mungkin dimanfaatkan oleh penjahat siber.