Qantas, maskapai penerbangan nasional Australia, kembali dihadapkan pada badai reputasi setelah seorang peretas berhasil membobol basis data yang berisi informasi pribadi jutaan penumpangnya. Insiden siber ini, yang diungkap pada Rabu (2/7), disebut-sebut sebagai salah satu pelanggaran data terbesar yang menimpa perusahaan Australia dalam beberapa tahun terakhir, menandai kemunduran signifikan bagi upaya maskapai tersebut untuk membangun kembali citra dan kepercayaan publik pasca serangkaian kontroversi yang melanda mereka. Pembobolan data ini tidak hanya mengancam privasi individu, tetapi juga menimbulkan pertanyaan serius tentang keamanan siber pada infrastruktur kritis dan penyedia layanan pihak ketiga yang digunakan oleh perusahaan-perusahaan besar.
Menurut laporan yang dikutip dari Reuters, peretas menargetkan salah satu pusat panggilan (call centre) Qantas, yang kemudian memberikan akses tidak sah ke platform layanan pelanggan pihak ketiga. Platform ini merupakan gudang data sensitif, menyimpan informasi pribadi sekitar 6 juta penumpang. Data yang berhasil dicuri mencakup nama lengkap penumpang, alamat email, nomor telepon, tanggal lahir, dan nomor frequent flyer. Meskipun Qantas tidak merinci lokasi spesifik call centre yang menjadi sasaran atau kewarganegaraan penumpang yang datanya bocor, skala insiden ini menunjukkan potensi dampak yang sangat luas, menjangkau jutaan individu di seluruh dunia yang pernah menggunakan layanan Qantas.
Qantas menyatakan bahwa mereka pertama kali mendeteksi adanya aktivitas tidak biasa pada platform tersebut, yang kemudian memicu penyelidikan internal dan respons cepat. Maskapai tersebut segera mengambil langkah-langkah untuk mengamankan sistem yang terkompromi dan membatasi akses lebih lanjut. Meskipun demikian, Qantas mengakui bahwa proporsi data yang telah dicuri kemungkinan besar akan sangat signifikan. Pernyataan dari pihak maskapai menegaskan bahwa pembobolan ini tidak berdampak pada operasional penerbangan atau aspek keselamatan, sebuah poin yang mereka coba tekankan untuk meredakan kekhawatiran yang lebih luas. Namun, dampak reputasional dan finansial jangka panjang dari insiden semacam ini seringkali jauh lebih merugikan daripada gangguan operasional.
Pembobolan data ini datang pada saat yang sangat tidak tepat bagi Qantas. Maskapai ini telah berjuang keras untuk memulihkan kepercayaan publik setelah serangkaian skandal yang mencoreng nama baik mereka selama dan setelah pandemi COVID-19. Salah satu kontroversi terbesar adalah keputusan Qantas untuk secara ilegal memecat ribuan karyawan pada tahun 2020, sebuah langkah yang dilakukan di tengah penutupan perbatasan global dan pembatasan perjalanan. Keputusan ini, yang kemudian dinyatakan ilegal oleh pengadilan, menimbulkan kemarahan publik dan serikat pekerja, serta merusak hubungan antara manajemen dan karyawan. Ribuan pekerja darat dan staf lainnya yang dipecat terpaksa mencari nafkah di tempat lain, sementara Qantas menghadapi tuntutan hukum dan denda besar.
Selain pemecatan ilegal, Qantas juga menghadapi kritik tajam karena menjual ribuan tiket penerbangan yang sebenarnya telah dibatalkan atau dijadwalkan ulang secara diam-diam. Praktik yang dikenal sebagai "penerbangan hantu" ini membuat banyak penumpang terjebak dengan tiket yang tidak bisa digunakan atau sulit diuangkan kembali, menimbulkan frustrasi dan kerugian finansial. Komisi Persaingan dan Konsumen Australia (ACCC) bahkan meluncurkan penyelidikan atas praktik ini, menuduh Qantas telah menyesatkan konsumen dan melanggar undang-undang perlindungan konsumen. Skandal ini semakin memperburuk persepsi publik terhadap Qantas sebagai maskapai yang kurang transparan dan tidak mengutamakan kepentingan pelanggan.
Kontroversi lain yang baru-baru ini menyeruak adalah dugaan lobi intensif yang dilakukan Qantas kepada pemerintah federal Australia pada tahun 2022. Qantas dituduh menekan pemerintah agar menolak permintaan Qatar Airways untuk meningkatkan jumlah penerbangan ke Australia. Langkah ini secara luas dianggap sebagai upaya Qantas untuk melindungi dominasinya di pasar domestik dan rute internasional tertentu dari persaingan yang lebih ketat. Meskipun Qantas membantah telah menekan pemerintah, keputusan pemerintah untuk menolak permintaan Qatar Airways, yang kemudian dipertanyakan oleh banyak pihak, semakin menambah daftar panjang isu yang merusak kredibilitas maskapai. Mantan CEO Alan Joyce, yang memimpin Qantas selama periode kontroversial ini, telah pensiun pada tahun 2023 di tengah tekanan yang meningkat, menyerahkan estafet kepada Vanessa Hudson, yang kini memiliki tugas berat untuk memulihkan reputasi maskapai.
Pembobolan data ini memperparah tantangan yang dihadapi Vanessa Hudson. Sejak menjabat sebagai CEO pada tahun 2023, Hudson telah berupaya keras untuk memperbaiki hubungan dengan karyawan, regulator, dan publik. Dia telah meluncurkan berbagai inisiatif untuk meningkatkan layanan pelanggan, memperbaiki proses pengembalian dana, dan membangun kembali kepercayaan. Namun, insiden siber ini berpotensi menggagalkan sebagian besar upaya tersebut, mengalihkan fokus dari pemulihan operasional dan kembali ke masalah keamanan data yang fundamental.
Mengenai respons resmi, Qantas telah mengambil langkah-langkah yang diperlukan dengan memberi tahu Pusat Keamanan Siber Australia (ACSC), Kantor Komisioner Informasi Australia (OAIC), dan Polisi Federal Australia (AFP). Keterlibatan lembaga-lembaga ini menunjukkan tingkat keseriusan insiden dan potensi penyelidikan lebih lanjut. ACSC kemungkinan akan memberikan panduan teknis dan dukungan untuk mitigasi, sementara OAIC akan menilai kepatuhan Qantas terhadap Undang-Undang Privasi Australia dan Skema Pemberitahuan Pelanggaran Data yang Wajib (Notifiable Data Breaches scheme). AFP dapat meluncurkan penyelidikan kriminal jika ada bukti aktivitas peretasan yang melanggar hukum.
Penting untuk dicatat bahwa Qantas menyatakan bahwa peretas tidak berhasil mengakses akun frequent flyer, kata sandi pelanggan, nomor PIN, atau detail login lainnya. Informasi ini sedikit meredakan kekhawatiran terkait akses langsung ke akun pelanggan, yang bisa berujung pada penipuan atau pencurian identitas yang lebih serius. Namun, data yang bocor – nama, email, nomor telepon, tanggal lahir, dan nomor frequent flyer – tetap berharga bagi pelaku kejahatan siber. Informasi ini dapat digunakan untuk berbagai tujuan jahat, termasuk serangan phishing yang lebih canggih, penipuan social engineering, atau bahkan pencurian identitas.
Misalnya, dengan memiliki nama, email, dan nomor telepon, peretas dapat mengirimkan email atau pesan teks palsu yang sangat meyakinkan, meniru Qantas atau lembaga terkait, untuk mencoba mendapatkan informasi lebih lanjut seperti detail kartu kredit atau kata sandi. Tanggal lahir dapat digunakan untuk memverifikasi identitas di layanan lain atau untuk membuat akun palsu. Nomor frequent flyer, meskipun tidak langsung memberikan akses ke akun, bisa menjadi bagian dari teka-teki yang digunakan peretas untuk menyusun profil lengkap seorang individu, yang kemudian dapat dijual di pasar gelap atau digunakan untuk serangan yang lebih personal.
Insiden ini juga menyoroti kerentanan dalam rantai pasokan digital. Banyak perusahaan besar, termasuk maskapai penerbangan, sangat bergantung pada penyedia layanan pihak ketiga untuk berbagai fungsi, mulai dari layanan pelanggan hingga manajemen data. Meskipun efisien, ketergantungan ini juga memperkenalkan risiko baru. Jika salah satu vendor pihak ketiga memiliki celah keamanan, hal itu dapat menjadi titik masuk bagi peretas untuk menjangkau data pelanggan perusahaan induk. Perusahaan perlu melakukan uji tuntas yang ketat terhadap mitra pihak ketiga mereka dan memastikan bahwa mereka memiliki standar keamanan siber yang sama tingginya.
Para ahli keamanan siber telah lama memperingatkan tentang peningkatan frekuensi dan kecanggihan serangan siber, terutama yang menargetkan data pribadi. Industri penerbangan, dengan volume data pelanggan yang besar dan ketergantungan pada sistem yang saling terhubung, menjadi target yang menarik bagi peretas. Pelanggaran data sebelumnya di maskapai penerbangan lain di seluruh dunia menunjukkan bahwa insiden semacam ini bukan hal baru, namun skala dan dampak reputasionalnya terhadap Qantas menjadikannya kasus yang menonjol.
Bagi jutaan penumpang yang datanya bocor, langkah terbaik adalah tetap waspada. Para ahli merekomendasikan agar mereka memantau aktivitas mencurigakan di akun email dan telepon, berhati-hati terhadap email atau pesan yang meminta informasi pribadi, dan mempertimbangkan untuk mengganti kata sandi pada semua akun penting, terutama yang mungkin memiliki keterkaitan dengan informasi yang bocor. Penggunaan otentikasi dua faktor (2FA) juga sangat dianjurkan untuk menambah lapisan keamanan.
Qantas kini menghadapi tugas berat untuk tidak hanya memulihkan sistem keamanan mereka, tetapi juga untuk memulihkan kepercayaan jutaan pelanggan yang datanya kini berpotensi terekspos. Transparansi penuh, komunikasi yang jelas, dan kompensasi yang memadai bagi pihak yang dirugikan akan menjadi kunci dalam upaya pemulihan ini. Insiden ini berfungsi sebagai pengingat pahit bagi semua perusahaan bahwa dalam era digital, keamanan data bukanlah pilihan, melainkan sebuah keharusan mutlak yang harus menjadi prioritas utama. Kegagalan dalam melindungi data pelanggan dapat memiliki konsekuensi yang jauh melampaui kerugian finansial, merusak reputasi yang dibangun selama puluhan tahun dalam sekejap.
