Ancaman ‘Heartbleed’ membahayakan kata sandi, kartu kredit, dan data lainnya
Kata sandi, kartu kredit, dan data sensitif lainnya berisiko setelah peneliti keamanan menemukan masalah dengan teknologi enkripsi yang digunakan untuk mengirimkan email, transaksi e-niaga, kiriman jejaring sosial, dan lalu lintas web lainnya dengan aman.
Peneliti keamanan mengatakan ancaman yang dikenal sebagai Heartbleed ini serius karena tidak terdeteksi selama lebih dari dua tahun. Penyerang dapat mengeksploitasi kerentanan tanpa meninggalkan jejak apa pun, sehingga apa pun yang dikirim selama waktu tersebut mungkin telah disusupi. Namun, tidak diketahui apakah ada orang yang benar-benar menggunakannya untuk melakukan serangan.
Peneliti menyarankan orang-orang untuk mengubah semua kata sandi mereka.
Cacat tersebut ditemukan secara independen oleh para peneliti di Google Inc. dalam beberapa hari terakhir. dan perusahaan keamanan Finlandia Codenomicon.
Pelanggaran tersebut melibatkan SSL/TLS, sebuah teknologi enkripsi yang ditandai dengan gembok kecil tertutup dan “https:” di browser web untuk menunjukkan bahwa lalu lintas aman. Dengan bug Heartbleed, lalu lintas dapat diintip meskipun gembok ditutup.
Masalahnya hanya mempengaruhi varian SSL/TLS yang dikenal sebagai OpenSSL, namun ini merupakan salah satu varian paling umum di Internet.
Para peneliti di Codenomicon mengatakan bahwa OpenSSL digunakan oleh dua perangkat lunak server web yang paling banyak digunakan, Apache dan nginx. Artinya, banyak situs web yang mungkin memiliki kelemahan keamanan ini. OpenSSL juga digunakan untuk mengamankan email, obrolan, dan jaringan pribadi virtual, yang digunakan oleh karyawan untuk terhubung dengan aman ke jaringan perusahaan.
Meskipun ada kekhawatiran, Codenomicon mengatakan banyak situs konsumen besar tidak mengalami masalah karena “pilihan konservatif” mereka terhadap peralatan dan perangkat lunak. “Ironisnya, layanan yang lebih kecil dan lebih progresif atau layanan yang telah ditingkatkan ke enkripsi terbaru dan tercanggih akan terkena dampak paling besar,” tambah perusahaan keamanan tersebut.
Perbaikan dirilis pada hari Senin, namun situs web dan penyedia layanan yang terpengaruh harus menginstal pembaruan.
Layanan blog Tumblr Yahoo menggunakan OpenSSL. Dalam sebuah postingan blog pada hari Selasa, para pejabat di layanan tersebut mengatakan mereka tidak memiliki bukti adanya kesalahan dan segera menerapkan perbaikan.
“Tetapi itu tetap berarti bahwa ikon gembok kecil (HTTPS) yang kita semua percayai untuk menjaga kata sandi, email pribadi, dan kartu kredit kita tetap aman sebenarnya membuat semua informasi pribadi dapat diakses oleh siapa saja yang mengetahui tentang eksploitasi tersebut, ” baca postingan blog Tumblr. . “Ini mungkin hari yang baik untuk meminta izin sakit dan meluangkan waktu untuk mengubah kata sandi Anda di mana pun — terutama layanan dengan keamanan tinggi seperti email, penyimpanan file, dan perbankan, yang mungkin telah disusupi oleh bug ini.”
Yahoo Inc. mengatakan layanan lainnya, termasuk email, Flickr, dan pencarian, juga memiliki kerentanan. Perusahaan mengatakan beberapa sistem telah diperbaiki, sementara situs Yahoo lainnya sedang dikerjakan.
Perusahaan mengulangi rekomendasi standarnya bagi orang-orang untuk secara teratur mengubah kata sandi dan menambahkan nomor ponsel cadangan ke akun mereka. Nomor tersebut dapat digunakan untuk memverifikasi identitas pengguna jika terjadi kendala dalam mengakses akun akibat peretasan.
