PENDAHULUAN
Setelah berhasil membobol tiket.com itu MKU lalu berperan menawarkan penjualan tiket di
akun facebok Hairul Joe. Dia melakukan ini bersama tersangka SH yang masih buron. Sehingga
pembeli pun mendapatkan tiket dan bisa tetap terbang. Untuk NTM berperan mencari pembeli
tiket pesawat Citilink dengan akun facebook Nokey Dhosite Kashir. Setelah calon pembeli tidak
didapat, data order kembali dikirimkan kepada Al. Menurut Rikwanto, SH adalah yang pertama
kali atau otak pelaku pembobolan situs tiket.com
Pembobolan dilakukan pada 11 hngga 27 Oktoer 2016. Menurut polisi yang paling dirugian
dalam kasus ini adalah tiket.com karena pihak Citilink tetap dibayar dengan uang deposit milik
tiket.com. Pada saat penangkapan SH tidak ada di tempat. Dia tinggal di Jakarta dan berpindah
pindah. Dia merupakan lulusan SMP. Para pelaku terhubung melalui facebook.
Sumber:https://www.deliknews.com/2017/03/30/situs-dibobol-hacker-tiket-com-rugi-rp1-milyar/
1.2 Rumusan Masalah
Berdasarkan latar belakang di atas, rumusan masalah pada kasus ini ialah:
1. Bagaimanakah sistem bisnis dari tiket.com?
2. Bagaimanakah permasalahan yang dihadapi oleh tiket.com
3. Apa saja ancaman ancaman yang dapat terjadi dalam kegiatanl e-commerce?
4. Bagaimana pengendalian yang dapat dilakukan untuk mengatasi ancaman ancaman
dalam kegiatan e-commerce?
1.3 Tujuan
Berdasarkan rumusan masalah yang telah diuraikan di atas, maka tujuan yang dari penulisan
makalah ini ialah:
1. Untuk mengetahui sistem bisnis dari tiket.com
2. Untuk mengetahui permasalaha yang dihadapi oleh tiket.com
3. Untuk mengetahui ancaman ancaman yang dapat terjadi dalam kegiatan e commerce
4. Untuk mengetahui pengendalian yang dapat dilakukan untuk mengatasi ancaman
ancaman dalam kegiatan e-commerce
BAB II
PEMBAHASAN
Tiket.com (PT. Global Tiket Network) adalah sebuah situs booking dan ticketing online, yang
memberikan pelayanan reservasi tiket pesawat-pesawat. Sebelumnya, situs yang sudah berjalan
sejak November 2011 ini telah melayani pemesanan hotel, tiket nonton film, dan konser. Selain
itu, mereka juga memperbarui tampilan portalnya, agar tampilannya lebih atraktif. Meski sudah
banyak situs tiket online serupa, Tiket.com tak ingin menjadi just another online ticket
reservation, tukas Geary Undarsa, Managing Director Tiket.com. Cita-citanya, Tiket.com mau
menjadi portal booking dan ticketing yang terintegrasi. Sehingga, konsumen tak perlu banyak
membuka halaman browser untuk melakukan reservasi tiket perjalanan maupun hiburan.
Keunikan reservasi tiket pesawat lewat Tiket.com adalah, konsumen bisa membooking tiket
penerbangan pulang pergi dari dua maskapai berbeda tapi sistem pembayarannya cukup melalui
Tiket.com saja. Menariknya lagi, konsumen juga bisa sekalian membooking kamar hotel sembari
memesan tiket pesawat. Semua biaya atas pesanan konsumen itu, cukup dibayarkan lewat
Tiket.com.
Karena tiket.com ini merupakan situs reservasi online, maka untuk cangkupan wilayah tidak
terbatas, selama wilayah kamu memiliki akses internet maka kamu bisa melakukan reservasi
online di tiket.com. dan untuk jumlah karyawan saat ini tiket.com telah memiliki 250 karyawan.
Omset Perusahaan
Dua tahun sejak dilahirkan, tiket.com bukan cuma mimpi. Ini adalah ide yang sudah jadi
sesuatu yang bisa dinikmati oleh jutaan pengguna internet. Pendapatan tiket.com setiap bulan dari
penjualan tiket mencapai nilai Rp 30 sampai 40 miliar, jika dihitung pertahun omset mereka bisa
mencapai Rp 360 sampai 480 miliar. Bayangkan, betapa besarnya. Itu bukan usaha konglomerat,
tapi hanya 4 anak muda yang sekarang sudah memberi lapangan pekerjaan ke 80 orang staf-nya..
Tiket.com adalah situs yang memberikan layanan pemesanan tiket secara online. Tiket.com
dapat diakses melalui Komputer desktop dengan mengunakan browser seperti Google chrome,
Firefox, Safari. Tiket.com juga dapat diakses dari Smart phone dengan mendownload aplikasinya
di Google play store bagi pegguna Sistem operasi Android dan di App Store bagi pengguna sistem
operasi iOS (http://tiket.com)
Pada sistem ini konsumen membuka website yang disediakan travel tiket. Di website tersedia
beberapa menu pilihan, rute dan harga tiket. Pembeli tinggal klik untuk memilih mana saja yang
sesuai keinginannya. Kemudian dilanjutkan input data dan booking. Setelah itu penumpang
mendapatkan info hasil booking dan time limit pembayaran. Secara otomatis pembeli diarahkan
pada menu pembayaran. Setelah pembayaran terjadi pembeli melakukan konfirmasi pembayaran,
dan selanjutnya tiket dikirimkan ke email pembeli atau ada pemberitahuan hasil pembelian melalui
sms. Kelebihan sistem ini, proses reservasi dan booking hingga issued tiket berjalan dalam waktu
yang singkat. Kelemahannya, jika terjadi kesalahan pembeli input data, maka tidak bisa
menimpakan kesalahannya ke pihak travel, karena data diinput sendiri oleh pembeli. Kelemahan
lain tidak semua pembeli faham dan terbiasa menggunakan sistem ini. Banyak yang masih diliputi
rasa khawatir kalau terjadi kesalahan. Sistem ini biasanya dijalankan oleh travel tiket yang
menjalankan bisnisnya secara online dan offline dengan kekuatan modal yang besar. Sistem tiket
yang dijalan bersifat otomatis sehingga memerlukan perangkat penunjang dan SDM yang
memakan biaya yang tidak sedikit.
Dalam contoh sederhana, dibutuhkan setidaknya ribuan system calls per detik. Oleh karena itu
Kebanyakan programmer membuat aplikasi dengan menggunakan Application Programming
Interface(API). Dalam API itu terdapat fungsi-fungsi/perintah-perintah untuk menggantikan
bahasa yang digunakan dalam system calls dengan bahasa yang lebih terstruktur dan mudah
dimengerti oleh programmer. Fungsi yang dibuat dengan menggunakan API tersebut
kemudian akan memanggil system calls sesuai dengan sistem operasinya. Tidak tertutup
kemungkinan nama dari system calls sama dengan nama di API.
System call interface ini berfungsi sebagai penghubung antara API dan system call yang
dimengerti oleh sistem operasi. System call interface ini akan menerjemahkan perintah dalam
API dan kemudian akan memanggil system calls yang diperlukan.
Untuk membuka suatu file tersebut user menggunakan program yang telah dibuat dengan
menggunakan bantuan API, maka perintah dari user tersebut diterjemahkan dulu oleh program
menjadi perintah open().
Perintah open() ini merupakan perintah dari API dan bukan perintah yang langsung
dimengerti oleh kernel sistem operasi. Oleh karena itu, agar keinginan userdapat dimengerti
oleh sistem operasi, maka perintah open() tadi diterjemahkan ke dalam bentuk system call oleh
system call interface. Implementasi perintah open() tadi bisa bermacam-macam tergantung dari
sistem operasi yang kita gunakan.
Ada banyak penyedia layanan API, seperti contohnya Info Cuaca, kita bisa membuat
aplikasi tentang cuaca yang selalu update, dan data yang di ambil dari API penyedia layanan.
Berikut 5 penyedia layanan API info cuaca yang bisa digunakan untuk membuat wheater apps
API.
Selain sebagai ritel untuk menjual langsung tiket pesawat, mereka juga menyediakan
penggunaan API oleh pihak ketiga untuk menjalankan bisnis yang sama. Contoh dalam kasus
ini Web Kita menggunakan API yang disediakan oleh tiket.com. Cukup menghubungkan Web
kita dengan API yang telah disediakan oleh tiket.com. Kita berikan perintah API ditiap-tiap
button / fungsi agar dapat melakukan calls data sehingga dapat berinteraksi server tujuan dan
kita tidak perlu melakukan Update Harga karena harga tiket.dll akan otomatis terupdate dari
server pusat yang telah terhubung melalui API. Semua dokumentasi API ada di
http://docs.tiket.com/. Sebelum menggunakan api itu, kita harus menjadi Partner Provider,
dalam kasus ini adalah tiket.com. Model Partner yang ditawarkan mereka ada 2 yaitu:
1. Deposit
Dimana semua pembayaran transaksi yang terjadi di web kita akan dipotong melalui
sistem deposit. Sehingga kita dapat memproses pembayaran secara mandiri.
2. Non-Deposit
Semua pembayaran dibayarkan ke tiket.com
1A Amadeuz
1B Abacus Distribution system
1G Galileo International
1S Sabre
1P Wordspan
1V Apollo
Sebagai konsekuensi transaksi bisnis, maka maskapai yang tergabung dalam system
GDS dikenakan biaya (fee) yang besarnya tergantung dari tingkat partisipasi dan jumlah
transaksi yang terjadi. Beberapa GDS memperlakukan booking fee ber variatif sesuai
dengan tingat partisipasi. Umumnya Jangkauan GDS adalah bersifat internasional,
sehingga penumpang luar negri yang membeli tiket pada Travel Agent di Eropa dapat
langsung membeli tiket perjalanan domestik di Indonesia. Hanya saja masih ada regulasi
yang mengatur tentang penjualan tiket oleh travel agent lain di luar negri.
g. Inventory Management
Sebuah maskapai penerbangan persediaan berisi semua penerbangan dengan kursi
yang tersedia. Persediaan dari sebuah maskapai penerbangan umumnya dibagi menjadi
kelas-kelas layanan (misalnya Pertama, Bisnis atau kelas Ekonomi) dan hingga 26
pemesanan kelas, di mana harga yang berbeda dan pemesanan ketentuan yang berlaku.
Data inventaris diimpor dan dipertahankan melalui Sistem Distribusi Jadwal atas
antarmuka standar. Salah satu fungsi inti manajemen persediaan adalah pengendalian
persediaan. Inventory control mengarahkan berapa banyak kursi yang tersedia di kelas
pemesanan yang berbeda, dengan membuka dan menutup kelas pemesanan individu untuk
dijual.
2. Sistem bisnis Tiket.com
Tiket.com merupakan platform terintegrasi untuk semua produk travel sehingga mereka
melayani mulai dari pemesanan tiket pesawat, kereta api, kamar hotel, tiket pertunjukan,
sampai penyewaan mobil. Pendapatan utama yang diperoleh adalah dari komisi yang berasal
dari vendor yang diajak kerjasama, baik maskapai, kereta api, maupun hotel. Mereka
menjualkan produk, pelanggan bayar kepada mereka, dan tiket.com membayarkan kembali
kepada vendor tersebut dan setelah itu tiket.com mendapat komisi penjualan. Adapun besaran
komisi yang didapat dari setiap transaksi sangat relatif bergantung pada produknya. Komisi
dari hotel paling besar, pesawat terbang ada di tengah, dan kereta api paling kecil.
Adapun sistem kerja sama yang dilakukan antara tiket.com dengan pihak maskapai sebagai
berikut:
Dari gambar tersebut dapat dijelaskan bahwa tiket.com bekerjasama dengan maskapai dengan
menjual tiket pesawat yang disediakan oleh pihak maskapai. Kemudian keuntungan yang
didapatkan perusahaan berupa komisi yang diberikan oleh pihak maskapai. Untuk
mendapatkan hak penjualan langsung dari maskapai dengan menggunakan system API atau
GDS biasanya membutuhkan biaya yang cukup besar. Pihak provider biasanya membayar
sejumlah deposit tertentu untuk menjalankan operasional bisnis mereka. Deposit inilah yang
kemudian pada Tiket.com diretas oleh SH sehingga Tiket.com menderita kerugian yang cukup
besar.
Kasus ini bermula ketika PT Global Tiket Network sebagai pengelola Tiket.com
melaporkan ke Bareskrim polri bahwa akses mereka mengetahui adanya peretasan terhadap
sistem aplikasi jual beli tiket.com yang berlangsung dari tanggal 11 November sampai dengan
tanggal 27 November 2016. Otak dibalik kasus pembobolan ini adalah SH (19). Menurut hasil
penyelidikan sementara, Pemuda tamatan SMP tersebut dan ketiga rekannya MKU (19), NTM
(27) dan AI (19) telah berhasil membobol 4.600 situs. Total kerugian diperkirakan mencapai
mencapai 4,1 miliar Rupiah.
SH meretas situs Tiket.com untuk mendapatkan username dan password untuk bisa masuk
ke server Citilink dengan menggunakan ID tersebut. tujuannya untuk mendapatkan kode
booking tiket pesawat Citilink lalu dijual ke pembeli. Akan tetapi, haikal tidak bekerja sendiri,
dia memiliki tim yang terdiri dari MKU, NTM, AI yang direkrut lewat komunikasi di media
sosial dan game online.
MKU berperan menawarkan penjualan tiket pesawat melalui akun Hairul Joe pada jejaring
sosial Facebook MKU juga ikut membantu SH meretas situs Tiket.com. NTM berkewajiban
mencari calon pembeli melalui akun Facebook bernama Nokeyz Dhosite Kashir. Setelah
mendapatkan calon pembeli, data calon pembeli diberikan kepada AI untuk diprosess lebih
lanjut. AI bertugas memasukkan data pesanan tiket pesawat Citilink dari pembeli yang
selanjutnya data tersebut dimasukkan ke aplikasi penjualan maskapai Citilink dengan
menggunakan username dan password milik travel agen Tiket.com dan setelah kode booking
pesawat didapat, selanjutnya kode booking tersebut dikirim ke pihak pembeli.
Terungkapnya kasus ini berawal dari pengaduan PT Global Network kepada polisi tentang
adanya peretasan pada sistem aplikasi jual beli tiket daring Tiket.com yang tersambung dengan
sistem penjualan tiket pada maskapai penerbangan PT Citilink Indonesia (www.citilink.co.id)
pada 11-27 Oktober 2016.
Berdasarkan hasil penelusuran tim dari direktorat Tindak Pidana Siber, kasus pembobolan
ini dilakukan oleh tim yang terdiri dari SH (19) sebagai otak pembobolan, MKU (19), NTM
(27) dan AI (19). Ketiga pelaku MKU, NTM dan AI berhasil dibekuk pada tanggal 28 Maret
2017. Dan SH digerebek pada tanggal 30 Maret 2017.
Berdasarkan permasalahan diatas, maka dapat kita gambarkan suatu skema kasusnya
seperti dibawah ini:
SH (19) Otak Pembobolan
Meretas situs Tiket.com dan mendapatkan username dan password untuk
masuk ke server Citilink sebagai Tiket.com, lalu Memesan tiket pesawat untuk
mendapatkan Booking code tiket pesawat Citilink dan dijual kembali.
PEMBELI
PT Global Tiket Network (Tiket,com)
Mengetahui adanya pembobolan
terhadap akses mereka, lalu melaporkan
kasus tersebut kepada Bareskrim Polri
pada tanggal 11 November 2016.
Ketiga pelaku MKU (19), NTM (27), AI (19) dibekuk pada tanggal 28 Maret 2017. Sedangkan SH
ditangkap pada tanggal 30 Maret 2017
2.4 Ancaman yang Dapat Terjadi untuk Situs Online
Terdapat beberapa Risko dalam menjalankan E-Commerce:
Kehilangan segi financial secara langsung karena kecurangan
Pencurian informasi rahasia yang berharga
Kehilangan kesempatan bisnis karena gangguan pelayanan
Penggunaan akses ke sumber oleh pihak yang tidak berhak
Kehilangan kepercayaan dari para konsumen
Kerugian-kerugian yang tidak terduga
Kelemahan pengendalian internal pada tiket.com terdapat pada risk identification, risk
assessment dan monitoring yang ada pada perusahaan tiket.com. Dimana Tiket.com gagal
mengidentifikasi risiko eksternal pada situs website mereka sehingga gagal untuk mendeteksi
adanya koneksi yang terkena hack. Hal ini sejalan dengan yang dikatakan ahli digital forensic
Ruby Alamsyah pada detik.com, bahwa tindakan peretasan oleh Haikal ini masih dalam level
yang 'cetek'. Hal ini memungkinkan bisa dikarenakan pengamanan server jual-beli
tiket online tersebut memang rendah. Mereka cuma memanfaatkan informasi pengetahuan
serta tools yang ada. Kebetulan situs-situs tersebut memang tidak aware terhadap sekuriti yang
cukup tinggi, akhirnya gampang dibobol.
Selain itu juga, menurut ahli keamanan cyber, Taufik Yahya, ada banyak kemungkinan
cara yang digunakan Haikal untuk membobol situs www.tiket.com. Ada kemungkinan dari sisi
tiket.com sendiri yang rentan seperti belum membatasi penyaringan terhadap special character
yang memungkinkan seorang penyerang untuk menarik konten di database dari halaman front
end aplikasi (dikenal SQL Injection).
Umumnya dari hasil ini, seseorang dapat mempergunakan data untuk login ke halaman
yang lebih tertentu (seperti halaman admin) atau dapat juga untuk mengambil data sensitif
pengguna lain. Namun Taufik menambahkan, bila ditarik dari kesimpulan tersebut, masih
terlalu banyak hal yang dapat dijadikan dugaan karena tidak hanya SQL Injection yang dapat
membuat seseorang berhasil memperoleh akses masuk. Yang kemudian dilanjutkan dengan
melakukan pencurian data setelah penyerang berhasil mengambil akun untuk mengambil alih
komputer yang dipakai individu terkait atau sistem yang dikelola
Dan berdasarkan akan hal itu dapat diketahui bahwa risk assessment tiket.com tidak
dilaksanakan dengan baik. Dimana tiket.com tidak merespon risiko dengan baik. hal tersebut
dapat dikatakan demikian karena tiket.com seharusnya mengetahui adanya risiko risiko baik
itu bawaan maupun residual dari website mereka dan mempersiapkan atau melakukan cara
untuk merespon risiko-risiko tersebut. Hal ini sesuai dengan COSO Risk Assessment bahwa
cara untuk merespon risiko dapat dilakukan oleh perusahaan dengan menerapkan :
a) Mengurangi. Mengurangi kemungkinan dan dampak dari risiko dengan menerapkan sistem
pengendalian internal yang efektif.
b) Menerima. Menerima kemungkinan dan dampak dari risiko tersebut.
c) Membagi. Membagi risiko atau mentransfernya ke pihak lain dengan membeli asuransi,
outsourcing suatu aktivitas atau melakukan transaksi hedging.
d) Menghindar. Menghindari risiko dengan tidak terlibat dalam aktivitas yang menghasilkan
risiko.
Dari cara tersebut yang mungkin dapat dilakukan oleh tiket.com adalah mengurangi
kemungkinan dan dampak risiko sistem pengendalian internal yang efektif.
Selain hal tersebut diatas, pengendalian preventif dan detektif pada tiket.com masih
kurang. Karena mereka tidak mampu mencegah terjadinya hal tersebut dan deteksi yang
digunakan juga tidak dapat mendeteksi dengan segera apabila ada akses dari luar yang bukan
anggota dari tiket.com. Yang paling disayangkan adalah masalah ini telah terjadi agak lama
sebelum akhirnya diketahui oleh pihak tiket.com. Pihak IT tiket.com seharusnya secara berkala
memonitoring dan melakukan modifikasi yang diperlukan serta melaporkan kekurangan-
kekurangan yang ada pada pihak manajemen atau lini diatas mereka. Sehingga tiket.com dapat
mempersiapkan diri guna terhindar dari risiko-risiko negative yang ada.
Pengendalian Internal yang harus dilakukan untuk meminimalisir kejadian seperti yang
dialami oleh Tiket.com adalah dengan melakukan pengendalian preventif yaitu dengan cara
melakukan kendali atas akses jaringan. Dimana perusahaan dapat menggunakan batasan-
batasan pengamanan seperti router, firewall, dan instrusion prevention system lainnya untuk
melindungi atau mengendalikan informasi apa saja yang boleh dimasuki dan diamnbil dari
sistem informasi perusahaan. Perusahaan juga dapat melakukan perlindungan terhadap akses
nirkabel dengan mengaktifkan fitur-fitur pengaman yang ada, otentifikasi semua peralatan
yang akan digunakan untuk mengakses data nirkabel ke jaringan sebelum memberikan IP
address ke setiap peralatan tersebut, konfigurasi semua piranti nirkabel agar hanya beroperasi
dalam mode infrastruktur, yang mengharuskan piranti tersebut terhubung hanya dengan titik
nirkabel, penggunaan nama yang tidak informative untuk alamat titik akses service net
identifier (SSID) agar tidak mudah menjadi target serangan, mengurangi kekuatan broadcast
titik akses nirkabel, menempatkan di dalam interior ruangan dan menggunakan antenna
pengarah agar data yang tidak terotorisasi tidak mudah masuk, dan menggunakan penggunaan
enkripsi atas semua trafik nirkabel.Selain melakukan pengendalian preventif tiket.com juga
dapat memperbaiki pengendalian detektifnya untuk meningkatkan keamanan dengan cara
memonitor keefektifan pengendalian preventif. Pengendalian yang dapat dilakukan yaitu,
melakukan analisis log, intrusion detection system, dan pengujian keamanan. Analisis log
merupakan proses untuk memeriksa catatan atas siapa saja yang mengakses sistem dan secara
spesifik apa saja yang dilakukan oleh setiap pengguna ketika mengakses sistem untuk
mengidentifikasi potensi kemungkinan serangan yang dapat terjadi.Instrusion Detection
System (IDS) yang berisi seperangkat sensor dan unit monitoring pusat yang menghasilkan
catatan trafik jaringan yang telah diizinkan untuk melewati firewall dan kemudian
menganalisis catatan tersebut untu mendeteksi adanya tanda-tanda usaha untuk melakukan
instruksi gangguan atau gangguan yang sudah terjadi. Pengujian keamanan dilakukan dengan
cara melakukan pengujian secara berkala atas efektivitas prosedur pengaman yang saat ini
sudah ada. Salah satunya dengan menggunakan vulnerability scanner untuk mengidentifikasi
potensi kelemahan dalam konfigurasi sistem. Selain itu juga melakukan penetration test yang
merupakan usaha yang disahkan yang dilakukan oleh tim audit intern dan konsultan TI
eksternal untuk menerobos masuk ke dalam sistem informasi organisasi. Hal ini dilakukan
guna mengidentifikasi dimana saja perlindungan khusus harus diberikan untuk mencegah
adanya akses tidak sah terhadap sistem perusahaan. Salah satu cara untuk mengetahui
kelemahan sistem informasi juga dapat dilakukan dengan menyerang diri sendiri dengan paket-
paket program penyerang (attack) yang dapat diperoleh di Internet. Dengan menggunakan
program ini anda dapat mengetahui apakah sistem anda rentan dan dapat dieksploitasi oleh
orang lain. Selain program penyerang yang sifatnya agresif melumpuhkan sistem yang dituju,
ada juga program penyerang yang sifatnya melakukan pencurian atau penyadapan data. Untuk
penyadapan data, biasanya dikenal dengan istilah sniffer. Meskipun data tidak dicuri secara
fisik (dalam artian menjadi hilang), sniffer ini sangat berbahaya karena dia dapat digunakan
untuk menyadap password dan informasi yang sensitif. Ini merupakan serangan terhadap aspek
privacy.Tiket.com juga dapat menggunakan Sistem pemantau jaringan (network monitoring)
untuk mengetahui adanya lubang keamaman. Misalnya apabila anda memiliki sebuah server
yang semetinya hanya dapat diakses oleh orang dari dalam, akan tetapi dari pemantau jaringan
dapat terlihat bahwa ada yang mencoba mengakses melalui tempat lain. Selain itu dengan
pemantau jaringan dapat juga dilihat usaha-usaha untuk melumpuhkan sistem dengan melalui
denial of service attack (DoS) dengan mengirimkan packet yang jumlahnya berlebihan. Oleh
karena dari apa yang telah jabarkan diatas, tiket.com mungkin dapat melakukan hal tersebut
agar kejadian tersebut tidak dapat terjadi lagi dan dapat mengurangi risiko akan terkena hal
tersebut lagi. Seperti yang diketahui bahwa hal ini kemungkinan besar terjadi karena kurang
aware nya tiket.com terhadap hal tersebut sehingga dapat diterobos oleh hacker dengan mudah.