Peneliti Temukan SQL Injection di Sistem Keamanan Bandara TSA
FA
Faris Aksa

Dipublikasikan 15 Juli 2026

Peneliti Temukan SQL Injection di Sistem Keamanan Bandara TSA

Dua peneliti keamanan siber terkemuka, Ian Carroll dan Sam Curry, baru-baru ini mempublikasikan temuan yang mengejutkan sekaligus memalukan tentang kerentanan kritis pada sistem Known Crewmember (KCM) dan Cockpit Access Security System (CASS) yang digunakan oleh Transportation Security Administration (TSA) di Amerika Serikat. Melalui SQL injection yang sangat sederhana pada antarmuka web FlyCASS, mereka berhasil login sebagai administrator maskapai penerbangan dan mendapatkan kemampuan penuh untuk menambahkan atau menghapus nama awak pesawat dari daftar verifikasi. Temuan ini mengguncang fondasi kepercayaan terhadap sistem keamanan bandara yang diasumsikan sangat ketat oleh publik.

Menurut laporan teknis yang dipublikasikan di ian.sh, KCM adalah program yang memungkinkan pilot dan pramugari untuk melewati pemeriksaan keamanan standar di bandara domestik AS. Sementara CASS digunakan untuk memverifikasi identitas pilot yang meminta akses jumpseat di kokpit pesawat komersial. Kedua sistem ini bergantung pada verifikasi status kepegawaian melalui platform yang dioperasikan oleh ARINC, anak perusahaan Collins Aerospace, yang bertindak sebagai hub penghubung antara berbagai maskapai penerbangan dan otoritas keamanan bandara.

Celah SQL Injection yang Sangat Mendasar

FlyCASS adalah penyedia layanan web-based untuk maskapai penerbangan kecil yang ingin berpartisipasi dalam program KCM dan CASS tanpa harus membangun sistem verifikasi sendiri. Saat melakukan audit keamanan rutin, Carroll dan Curry mencoba memasukkan karakter single quote ke kolom username pada halaman login FlyCASS. Hasilnya langsung muncul pesan error MySQL yang detail, yang menandakan bahwa input pengguna langsung diinterpolasi ke dalam query SQL tanpa sanitasi atau parameterized query. Ini adalah kesalahan paling dasar dalam pengembangan aplikasi web yang sudah dikenal luas sejak tahun 1990-an.

Dengan payload SQL injection yang relatif sederhana menggunakan username berbentuk ' or '1'='1 dan password ') OR MD5('1')=MD5('1, para peneliti berhasil login sebagai administrator untuk maskapai Air Transport International. Dari panel admin, mereka bisa menambahkan nama fiktif ke daftar awak yang terverifikasi, mengubah status kepegawaian aktif atau nonaktif, dan bahkan mengakses foto kru yang tersimpan dalam sistem untuk tujuan verifikasi visual di bandara. Ini berarti penyerang bisa membuat identitas pilot palsu yang sepenuhnya fungsional dalam sistem TSA dan lolos pemeriksaan keamanan.

Dampak Keamanan Nasional yang Sangat Serius

Implikasi dari kerentanan ini tidak bisa diremehkan. Seseorang yang tidak pernah bekerja sebagai pilot atau pramugari bisa ditambahkan ke daftar KCM dan secara resmi melewati pemeriksaan keamanan bandara sepenuhnya. Mereka juga bisa mendapatkan akses ke kokpit pesawat komersial melalui sistem CASS hanya dengan menunjukkan identitas palsu yang mereka buat sendiri. Padahal, latar belakang keamanan dan pemeriksaan menyeluruh adalah fondasi dari program KCM dan CASS yang seharusnya menjamin bahwa hanya awak yang terverifikasi yang bisa melewati pemeriksaan.

Menurut data yang dipublikasikan oleh TSA, ada 77 maskapai penerbangan yang berpartisipasi dalam KCM di seluruh Amerika Serikat. Meski maskapai besar seperti American Airlines atau Delta kemungkinan memiliki sistem verifikasi sendiri yang lebih kuat, maskapai regional dan kargo yang lebih kecil bergantung pada vendor pihak ketiga seperti FlyCASS. Ini berarti celah tidak hanya memengaruhi satu maskapai, tetapi berpotensi merusak kepercayaan terhadap seluruh ekosistem verifikasi awak pesawat yang melibatkan ratusan ribu karyawan aviation di seluruh negara.

Respons Pihak Berwenang dan Perbaikan Sistem

Setelah temuan dilaporkan melalui responsible disclosure, TSA dan ARINC menonaktifkan sementara akses ke FlyCASS untuk investigasi lebih lanjut. Carroll mencatat bahwa respons awal dari pihak berwenang cukup cepat, namun sistem serupa yang digunakan vendor lain mungkin juga memiliki masalah keamanan yang sama, terutama jika dibangun pada era sebelum secure coding practices menjadi standar industri. Banyak sistem legacy di sektor kritis yang masih berjalan di produksi dibangun pada dekade 2000-an ketika awareness tentang SQL injection masih rendah di kalangan developer government contractor.

Bagi developer dan engineer keamanan, insiden ini adalah pengingat klasik bahwa SQL injection masih menjadi ancaman nyata di tahun 2026. Meski OWASP Top 10 telah mencantumkan SQL injection sebagai ancaman utama selama lebih dari dua dekade, masih ada sistem kritis yang rentan terhadap celah paling dasar ini. Penggunaan prepared statements, parameterized queries, dan framework ORM yang modern bisa mencegah celah seperti ini dengan sangat efektif. Namun, banyak sistem legacy yang masih berjalan di produksi dibangun pada masa di mana praktik keamanan ini belum umum atau dianggap terlalu mahal untuk diimplementasikan dalam proyek government dengan budget terbatas.

Penelitian ini juga menyoroti pentingnya responsible disclosure dalam ekosistem keamanan siber. Carroll dan Curry memberikan waktu yang cukup kepada TSA dan ARINC untuk menutup celah sebelum mempublikasikan temuan mereka secara terbuka. Pendekatan ini adalah standar emas dalam komunitas keamanan siber: temukan, laporkan secara pribadi, beri waktu untuk perbaiki, lalu publikasikan untuk edukasi publik. Tanpa responsible disclosure, vendor mungkin tidak akan memperbaiki celah dengan cepat, dan penyerang jahat bisa menemukan dan mengeksploitasi celah tersebut tanpa ada yang mengetahuinya sampai terlambat.

Indonesia sebagai negara dengan pertumbuhan aviation yang cepat juga harus mengambil pelajaran dari insiden ini. Bandara-bandara besar seperti Soekarno-Hatta dan Ngurah Rai menggunakan berbagai sistem verifikasi untuk awak pesawat dan kru ground handling. Audit keamanan berkala pada sistem-sistem kritis ini, termasuk yang dikelola oleh vendor pihak ketiga, harus menjadi prioritas. Jangan sampai celah sekecil SQL injection bisa membahayakan keselamatan penerbangan dan kepercayaan publik terhadap sektor aviasi nasional.