Jika Anda tahu di mana mencarinya, banyak rahasia bisa jadi ditemukan onlineSejak musim gugur 2021, peneliti keamanan independen Bill Demirkapi telah membangun cara untuk memanfaatkan sumber data yang sangat besar, yang sering diabaikan oleh para peneliti, untuk menemukan banyak masalah keamanan. Ini termasuk menemukan rahasia pengembang secara otomatis—seperti kata sandi, kunci API, dan token autentikasi—yang dapat memberi penjahat dunia maya akses ke sistem perusahaan dan kemampuan untuk mencuri data.
Hari ini, di Bahasa Inggris Defcon konferensi keamanan di Las Vegas, Demirkapi mengungkap hasil kerja ini, merinci banyak sekali rahasia yang bocor dan kerentanan situs web yang lebih luas. Di antara sedikitnya 15.000 rahasia pengembang yang dikodekan secara permanen ke dalam perangkat lunak, ia menemukan ratusan detail nama pengguna dan kata sandi yang terkait dengan Mahkamah Agung Nebraska dan sistem IT-nya; detail yang diperlukan untuk mengakses saluran Slack Universitas Stanford; dan lebih dari seribu kunci API milik pelanggan OpenAI.
Produsen ponsel pintar besar, pelanggan perusahaan teknologi finansial, dan perusahaan keamanan siber bernilai miliaran dolar termasuk di antara ribuan organisasi yang secara tidak sengaja mengungkap rahasia. Sebagai bagian dari upayanya untuk membendung gelombang itu, Demirkapi berhasil meretas cara untuk mencabut informasi secara otomatis, sehingga tidak berguna bagi peretas mana pun.
Dalam penelitian kedua, Demirkapi juga memindai sumber data untuk menemukan 66.000 situs web dengan iklan yang menggantung. masalah subdomainyang membuat mereka rentan terhadap berbagai serangan termasuk pembajakan. Beberapa situs web terbesar di dunia, termasuk domain pengembangan milik The New York Times, memiliki kelemahan tersebut.
Sementara dua masalah keamanan yang ditelitinya sudah dikenal luas di kalangan peneliti, Demirkapi mengatakan bahwa beralih ke kumpulan data yang tidak konvensional, yang biasanya dicadangkan untuk tujuan lain, memungkinkan ribuan masalah diidentifikasi secara massal dan, jika diperluas, menawarkan potensi untuk membantu melindungi web secara luas. “Tujuannya adalah menemukan cara untuk menemukan kelas kerentanan yang sepele dalam skala besar,” Demirkapi memberi tahu WIRED. “Saya pikir ada celah untuk solusi kreatif.”
Rahasia yang Terbongkar; Situs Web yang Rentan
Relatif mudah bagi pengembang untuk secara tidak sengaja memasukkan rahasia perusahaan mereka ke dalam perangkat lunak atau kode. Alon Schindel, wakil presiden penelitian ancaman dan AI di perusahaan keamanan cloud Wiz, mengatakan ada banyak sekali rahasia yang secara tidak sengaja dapat dikodekan atau diungkapkan oleh pengembang di seluruh alur pengembangan perangkat lunak. Rahasia-rahasia ini dapat mencakup kata sandi, kunci enkripsi, token akses API, rahasia penyedia cloud, dan sertifikat TLS.
“Risiko paling besar dari meninggalkan rahasia dalam bentuk hard-code adalah jika kredensial dan rahasia autentikasi digital terbongkar, hal tersebut dapat memberikan akses tidak sah kepada penyerang ke basis kode, basis data, dan infrastruktur digital sensitif lainnya milik perusahaan,” kata Schindel.
Risikonya tinggi: Rahasia yang terbongkar dapat mengakibatkan pelanggaran data, peretas yang membobol jaringan, dan serangan terhadap rantai pasokan, imbuh Schindel. Sebelumnya penelitian tahun 2019 menemukan ribuan rahasia bocor di GitHub setiap hari. Dan sementara berbagai alat pemindaian rahasia adasebagian besarnya difokuskan pada target spesifik dan bukan pada jaringan yang lebih luas, kata Demirkapi.
Dalam penelitiannya, Demirkapi, yang pertama kali menemukan keunggulannya eksploitasi peretasan sekolah remaja lima tahun lalu, ia memburu kunci rahasia ini dalam skala besar—bukannya memilih perusahaan dan mencari rahasianya secara khusus. Untuk melakukannya, ia beralih ke VirusTotal, situs web milik Google, yang memungkinkan pengembang mengunggah file—seperti aplikasi—dan memindainya untuk mencari potensi malware.
