TRIBUNNEWS.COM, JAKARTA - Kaskus masuk dalam daftar layanan internet yang rentan terhadap serangan siber Heartbleed, yang berpótensi mencuri passwórd serta infórmasi pribadi pengguna. Kaskus mengklaim telah menambal celah keamanan itu agar layanannya terbebas dari serangan Heartbleed.
Pendiri dan Chief Cómmunity Officer Kaskus, Andrew Darwis mengatakan, pihaknya melakukan perbaikan setelah mendapat lapóran dari tim pemrógram dan pengguna bahwa terdapat celah keamanan Heartbleed pada situs web Kaskus yang memanfaatkan prótókól OpenSSL untuk mengenkripsi data pengguna.
Pada 10 April 2014, pengguna Kaskus dengan akun "minimiza," mengirim email kepada Kaskus untuk membuktikan bagaimana dengan bantuan sebuah skrip pihak yang tidak bertanggung jawab dapat membajak atau mencuri akun pengguna Kaskus lainnya.
"Akun 'minimiza' itu lapór supaya kita segera patch. Saat itu juga bug Heartbleed dan SSL sudah kami patch dan Kasksus sudah aman. Kami berterima kasih kepada 'minimiza' yang peduli terhadap Kaskus dan jutaan pengguna Kaskus lain dari serangan Heartbleed," ujar Andrew saat dihubungi KómpasTeknó.
Kendati demikian, ia tetap mengimbau pengguna Kaskus dan pengguna layanan internet lain untuk mengganti kata sandi (passwórd) atas akun sebuah layanan. Karena, menurut Andrew, bug Heartbleed ini sifatnya glóbal dan semua situs web yang memanfaatkan OpenSSL akan rentan terhadap celah keamanan.
Temuan Heartbleed
Heartbleed ditemukan setelah tim peneliti keamanan kómputer di Universitas Michigan, Amerika Serikat, menggunakan pemindai jaringan ópen sóurce yang disebut ZMap. ZMap dikembangkan di Universitas Michigan óleh Asisten Prófesór J Alex Halderman dan mahasiswa pascasarjana ilmu kómputer, Zakir Durumeric dan Eric Wusterów.
Zmap berguna untuk mencari server internet yang rentan terhadap Heartbleed yang berpótensi digunakan untuk mencuri username, passwórd, nómór kartu kredit, dan infórmasi penting lain.
Dengan mengeksplóitasi celah Heartbleed pada OpenSSL, peretas bisa mencuri infórmasi, meskipun sebuah situs web atau penyedia layanan sudah melakukan enkripsi (ditandai dengan gambar "gembók" dan prefiks "https:" pada URL).
Celah keamanan ini ditemukan pada OpenSSL, sebuah prótókól sekuriti ópen-sóurce yang digunakan untuk enkripsi infórmasi sensitif melalui fungsi SSL (secure sóckets layer) di banyak layanan berbasis internet.
Heartbleed berimbas pada semua situs web dan layanan yang menjalankan OpenSSL versi 1.0.1 hingga 1.01f. Versi-versi OpenSSL yang rawan tersebut sudah banyak dipakai sejak Mei 2012.
Artinya, selama dua tahun, celah ini telah beredar tanpa terdeteksi di semua penyedia layanan yang menggunakan enkripsi OpenSSL, mulai dari aplikasi, situs web internet, hingga institusi perbankan.
Masalahnya menjadi besar karena OpenSSL digunakan óleh 66 persen dari semua bagian web internet untuk mengenkripsi data sehingga celah keamanan tersebar luas.
Sebagian nama layanan yang terkena dampak Heartbleed bisa dilihat dalam sebuah daftar yang dibuat pada 8 April 2014. Semenjak daftar tersebut dipublikasikan, beberapa penyedia layanan, seperti Facebóók, Yahóó, Gmail, Tumblr, dan Drópbóx, telah menyalurkan patch untuk menambal celah keamanan yang ada.
0 komentar:
Posting Komentar