Aplikasi KAI Access diluncurkan oleh PT Kereta Api Indonesia pada 4 September 2014. Versi terakhir adalah v1.0.3.1 yang diluncurkan pada 30 Agustus lalu. Berdasarkan data yang ada di Play Store, sudah ada sekitar satu juta sampai lima juta pemasangan. Belum lagi kalau ditambah dengan pengguna di aplikasi untuk platform mobile lain seperti iOS, Blackberry dan Windows Phone.
Saya melakukan proses Reverse Engineering terhadap aplikasi KAI Access untuk platform Android dengan versi 1.0.3.1. Seperti yang sudah diketahui, untuk dapat masuk ke aplikasinya, pengguna hanya perlu memasukkan nomor handphone dan kata sandi. Proses otorisasi seperti ini memang sudah menjadi celah tersendiri untuk pengguna aplikasi dengan platform mobile, padahal sebetulnya pihak pengembang aplikasi dapat menggunakan proses OAuth2 daripada hanya dengan nomor handphone dan kata sandi.
Hasilnya, REST API yang digunakan oleh aplikasi Android (tidak menutup kemungkinan digunakan untuk platform lain) dapat digunakan tanpa perlu proses otorisasi sama sekali. Celah ini memungkinkan saya untuk dapat mengetahui data pribadi pengguna aplikasi seperti email, alamat, nomor identitas dan juga tanggal lahir. Dengan celah yang ada saya dapat merubah kata sandi dari akun yang sudah terdaftar sebelumnya tanpa ada pemberitahuan sama sekali ke pemilik akun asli kalau kata sandinya sudah dirubah. Dan yang lebih miris adalah, URL yang digunakan untuk APIÂ request sama sekali tidak memiliki SSL Certificate, yang artinya, data yang dikirimkan sama sekali tidak dienkripsi.
Bug lain ada pada sistem pemesanan online dengan alamat https://tiket.kereta-api.co.id. Celah yang ada memungkinkan saya untuk mengakses data pemesan lain yang session-nya masih aktif dan merubah tempat duduknya tanpa diketahui oleh si pemesan.
Dalam satu hari, PT Kereta Api Indonesia membatasi jumlah pemesanan dari aplikasi mobile sebanyak empat kali saja, jika dalam satu hari Anda sudah melakukan empat kali pemesanan, selanjutnya akan ada pemberitahuan tentang bahwa akun anda sudah mencapai batas yang ditentukan dan baru bisa melakukan pemesanan kembali esok hari. Dengan celah yang ada, saya dapat melakukan fake booking alias booking palsu terhadap akun pengguna lain.
Celah lain memungkinkan saya untuk merubah alamat dan kota dari akun pengguna tanpa perlu melakukan login sama sekali.
Hal teknis tentang temuan ini sudah saya sampaikan kepada pihak PT Kereta Api Indonesia melalui surel ke kontak_pelanggan@kereta-api.co.id dan juga melalui pesan ke akun Facebook KAI121.
Semoga saja hal ini dapat ditindaklanjuti secara cepat dan profesional, mengingat terkait dengan keamanan data pengguna aplikasi. Dengan jumlah pengguna yang begitu banyak dan desain REST API yang mudah untuk ditebak, secara pribadi saya sendiri merasa khawatir karena aplikasi KAI Access tidak menyediakan feature untuk menghapus akun. Mungkin sudah ada yang pernah menemukan celah ini sebelumnya dan mungkin juga telah melaporkannya kepada pihak PT Kereta Api Indonesia.
Harapan saya sebagai salah satu pelanggan yang cukup sering menggunakan transportasi Kereta Api (dan booking melalui aplikasi mobile), semoga perbaikan sistem dapat dilakukan secepatnya guna kenyamanan bersama.
Bandung, 30 September 2016
Teguh Suandi
