Hacker Berhasil Gunakan Heartbleed untuk Mengakses Kunci Keamanan Pribadi


Hacker Berhasil Gunakan Heartbleed untuk Mengakses Kunci Keamanan Pribadi

 

Heartbleed merupakan lubang keamanan pada software enkripsi web open soure, OpenSSL yang memungkinkan para hacker mengambil sebagian kecil dari memori aktif server web. Memori aktif tersebut bisa berisi informasi berharga seperti data pribadi, password, informasi kartu kredit, dan sebagainya.

Hearbleed ditemukan minggu lalu dan telah mempengaruhi situs web seperti Yahoo. Tumblr, Pinterest, Google, dan lainnya. Jika Anda belum mengubah password di situs-situs web tersebut, lakukan sekarang.

Beberapa hari lalu, jaringan distribusi konten, Cloudfare, menyatakan bahwa Heartbleed kemungkinan tidak seburuk seperti yang diperkirakan sebelumnya. Sebab, sulit, jika bukan mustahil, bagi para hacker untuk memanfaatkan celah keamanan tersebut untuk mencuri kunci keamanan pribadi milik situs web.

Sebuah kunci keamanan pribadi milik situs web sangat berperan penting karena para hacker bisa menggunakannya untuk membuat situs web asli tapi palsu. Selain itu, para hacker juga bisa menggunakan kunci tersebut untuk mengkases data pengguna pada situs web meskipun telah diperbaiki menghadapi Heartbleed. Satu-satunya cara untuk memperbaiki situs web terdampak adalah melakukan pembaruan sertifikat keamanan dan memperoleh kunci keamanan pribadi baru.

Untuk memastikannya, Cloudfare meluncurkan “The Heartbleed Challenge” dan mengundanga siapapun untuk mencoba dan mencuri kunci keamanan pribadi server. Hanya dalam waktu sembilan jam, insinyur software Fedor Indutny dan Ilkka Mattila berhasil memperoleh kunci keamanan tersebut. Keberhasilan mereka disusul oleh dua orang lainnya: Rubin Xu, pelajar doktoral dalam kelompok keamanan Universitas Cambridge, serta peneliti keamanan, Ben Murphy.

Hasilnya, Cloudfare merekomendasikan seluruh pihak yang terdampak untuk mengganti kunci pribadi mereka. “Rekomendasi kami berdasarkan temuan ini adalah semua pihak yang terdampak untuk mengganti kunci pribadi mereka,” tulis Cloudflare hari ini. “Cloudfare telah mempercepat upaya ini atas nama konsumen di mana kunci SSL mereka kami kelola.”

Temuan tersebut cukup menggangu, karena berarti perbaikan tidak semudah menambal lubang kemanan OpenSSL dan mendorong semua orang mengganti password mereka. Seperti yang kami sebutkan sebelumnya, temuan tersebut mempertegas bahwa sebelum situs mengakui telah terdampak dan telah melakukan langkah yang diperlukan untuk mengatasinya, maka tidak banyak yang bisa dilakukan oleh pengguna untuk melindungi mereka selain mengganti password situs web yang telah terbebas dari celah keamanan Heartbleed.

Sumber: Ars Technica

Semua Kategori Berita

Berita 12 Bulan Terakhir