
Ilustrasi komputasi cloud
Ilustrasi komputasi cloud
Cyberthreat.id – Peneliti keamanan mengungkapkan kesalahan konfigurasi pada penyimpanan awan (cloud) membuat ribuan aplikasi mengekspose data penggunanya.
Dikutip dari Security Week, peneliti dari perusahaan keamanan Zimperium menemukan ribuan aplikasi yang mengekspose data penggunanya secara online, karena mengabaikan konfigurasi cloud selama proses pengembangan yang berdampak pada keamanan pengguna.
Menurut Zimperium banyak pengembang mengandalkan layanan cloud yang diyakini akan membantu menyelesaikan masalah ruang penyimpanan pada perangkat seluler, dan pengembang memiliki banyak solusi untuk dipilih, tetapi beberapa yang paling populer adalah Amazon Web Services, Microsoft Azure, Google Storage, dan Firebase.
“Semua layanan ini memungkinkan pengembang untuk menyimpan data dengan mudah dan membuatnya dapat diakses oleh aplikasi. Namun, di sinilah risikonya, kemudahan penggunaan layanan ini juga memudahkan pengembang untuk salah mengonfigurasi kebijakan akses yang berpotensi memungkinkan siapa saja untuk mengakses dan dalam beberapa kasus bahkan mengubah data,” ungkap Zimperium.
Peneliti menemukan kesalahan konfigurasi ini mengekspose Informasi PII atau informasi yang dapat diidentifikasi secara pribadi (PII), seperti gambar profil, detail pribadi (alamat, informasi keuangan, dll) hingga detail medis (data tes medis dll).
Risiko yang dihadapi developer saat kebocoran PII termasuk risiko hukum (korban mungkin menuntut developer aplikasi), dan kerusakan merek.
Tak hanya itu, kebocoran informasi ini juga mungkin berdampak pada pemaparan detail yang terkait dengan operasi dan infrastruktur aplikasi. Beberapa aplikasi yang dianalisis diketahui membocorkan seluruh skrip infrastruktur cloud, kunci SSH, file konfigurasi server web, file instalasi, atau kata sandi.
“Penyerang dapat menggunakan informasi ini untuk mempelajari tentang infrastruktur komputasi organisasi, dan bahkan mengambil alih infrastruktur backend dan bahkan bagian lain dari jaringan organisasi,” kata peneliti.
Jenis aplikasi iOS dan Android yang ditemukan mengekspos PII ini termasuk aplikasi medis, aplikasi media sosial, aplikasi game utama, dan aplikasi kebugaran. Aplikasi yang memungkinkan penipuan melalui kebocoran data termasuk dompet seluler Fortune 500, aplikasi transportasi kota besar, pengecer online besar, dan aplikasi perjudian.
Selain itu, ada juga aplikasi yang mengekspos IP dan sistem seperti aplikasi musik populer, layanan besar baru, aplikasi perusahaan perangkat lunak Fortune 500, aplikasi untuk bandara, dan pengembang perangkat keras utama, serta aplikasi perjalanan milik pemerintah di Asia.
Zimperium juga menemukan aplikasi yang menggunakan penyimpanan cloud Google dan Amazon tanpa dilengkapi keamanan apa pun, serta aplikasi yang mengekspos data yang dibagikan antar sesama pengguna, atau yang menampilkan gambar berisi detail pembayaran, bersama dengan berbagai informasi terkait pembelian online.
Untuk menghindari risiko, pengembang harus selalu memastikan bahwa akses eksternal ke penyimpanan atau database cloud diamankan. Selanjutnya, pengembang juga disarankan untuk menggunakan layanan penilaian siklus pengembangan perangkat lunak yang aman dan mengatasi masalah yang teridentifikasi.[]
Editor: Yuswardi A. Suud
Share: