Cyberthreat.id – CyberNews, media daring juga lembaga riset keamanan siber, menemukan, puluhan situs web teratas berdasarkan peringkat di Alexa.com membiarkan file-file-nya terbuka—biasa disebut leftover files—dan bisa diakses publik.

Leftover files ialah salah satu jenis celah yang tidak mencolok bagi peretas, bahkan oleh situs-situs web terbesar di internet, tutur peneliti CyberNews, Martynas Vareikis, dikutip dari CyberNews, diakses Senin (1 November 2021).

“Satu item yang terpapar dapat membuka jutaan, jika bukan miliaran, pengunjung ke sejumlah besar potensi bahaya, termasuk pelanggaran data, serangan phishing, pencurian identitas, atau lebih buruk,” ujarnya.

Peneliti CyberNews meneliti sebanyak 35.000 situs web teratas dan menemukan 82 situs web peringkat teratas di Alexa.com memiliki leftover files yang dapat diakses tanpa izin.

Situs web tersebut berasal dari AS, Rusia, Jepang, China, Jerman, Prancis, Korea, Belanda, dan lain-lain. Sebagian juga situs web pemerintah dan lembaga pendidikan.

Dari analisis 35.000 situs web, peneliti menemukan file DS_STORE, ENV, MYSQL_HISTORY, dan repositori GIT.

File layanan desktop tertinggi

File layanan desktop atau Desktop Services Store (DS_STORE) paling banyak ditemukan dengan lebih dari 81 situs web yang terpapar.

Jika file tersebut dikuasai penyetang, mereka dapat mengumpulkan informasi tentang konten folder yang disimpan di web server, yang dapat mengarahkan mereka ke file tidak terlindungi yang berisi data sensitif dan kredensial akses, tutur peneliti.

Di posisi kedua, repositori GIT, dengan 24 situs web. Repositori GIT ialah folder tersembunyi di dalam direktori GIT dan berisi banyak file yang diperlukan agar klien GIT dari aplikasi web berfungsi dengan baik. Repositori ini sering bisa menyertakan informasi sensitif, seperti file konfigurasi, basis data objek, dan cache files.

Menurut Zur Ulianizky, Kepala Riset Keamanan di XM Cyber, penyerang yang berhasil mendapatkan akses ke repositori GIT dapat dengan mudah mengekstrak informasi sensitif yang tersimpan di dalamnya.

“Mengekstrak repositori lengkap cukup mudah karena ada banyak alat sumber terbuka yang mencapai tujuan ini, yang dapat menyebabkan serangan lebih lanjut,” Ulianizky memperingatkan.

“Selain itu, jika penyerang beruntung, repositori mewakili aplikasi. Dengan menggunakan kode yang mereka temukan, penyerang mungkin dapat menemukan kerentanan aplikasi web umum atau masalah logika bisnis di dalam aplikasi.”

Sementara, Ashu Savani, salah satu pendiri perusahaan pelatihan keamanan siber TryHackMe, menambahkan bahwa direktori GIT juga memiliki riwayat committed code yang mengungkapkan kode sumber aplikasi web. Tidak hanya itu, direktori GIT yang terbuka dapat menyebabkan pelaku ancaman mendapatkan kredensial seperti kunci untuk lingkungan cloud, string koneksi basis data, atau kunci API pihak ketiga.

“Penyerang dapat menggunakan kredensial tersebut untuk mendapatkan pijakan ke dalam lingkungan organisasi atau mengakses data sensitif. Dengan direktori GIT, dapat secara proaktif mencari masalah keamanan di dalam kode sumber dan menggunakannya untuk mengeksploitasi aplikasi,” tutur Savani.

File MySQL_HISTORY dan ENV

Sementara, file MYSQL_HISTORY juga ditemukan di situs-situs web yang diteliti. File ini digunakan oleh klien basis data MySQL tertentu untuk mencatat dan melacak kueri SQL yang dieksekusi dan berfungsi sebagai referensi untuk administrator web jika terjadi kesalahan.

File-file tersebut penting untuk manajemen basis data dan seringkali berisi informasi yang sangat sensitif, seperti nama basis data, nama tabel dan kolom, serta kata sandi akun.

Demikian pula, file ENV digunakan oleh banyak aplikasi web untuk menyimpan kredensial akses dan merupakan beberapa file terburuk yang pernah diekspos untuk situs web mana pun.

“Membiarkan file semacam itu dapat diakses publik dapat menjadi bencana besar bagi perusahaan,” kata Stephen Curry, CEO penyedia layanan tanda tangan digitial, CocoSign.

“Jika data ini dilanggar, setiap pelanggan yang catatannya diretas akan mulai menerima email spam atau panggilan telepon yang tidak diinginkan,” jelas Curry.

Tak perlu dikatakan, file MYSQL_HISTORY dan ENV adalah target yang sangat berharga bagi pelaku ancaman, karena paparan publik mereka dapat menyebabkan pencurian data pribadi, injeksi malware atau ransomware, dan bahkan pengambilalihan situs web secara penuh.

Dengan melihat kondisi tersebut, CyberNews pun merekomendasikan praktik terbaik keamanan kepada administrator web server agar tidak mengalai hal tersebut:

1. Pastikan bahwa tim mengetahui pengembangan yang aman. Selain itu, penting bagi pengembang untuk mengetahui kerentanan OWASP TOP 10 dan cara mencegahnya selama pengembangan.
2. Setiap masukan (input) oleh pengguna harus divalidasi. Selain itu, pastikan bahwa output telah dibersihkan.
3. Pengecualian harus ditangani. Pastikan bahwa setiap pengecualian ditangani dengan benar. Penyerang menggunakan pengecualian untuk mengumpulkan informasi yang dapat membantu serangan tambahan.
4. Gunakan header keamanan browser, seperti HSTS, X-Frame-Options, dan perlindungan X-XSS.
5. Menerapkan Manajemen Identitas dan Akses untuk mengikuti prinsip hak istimewa terkecil.
6. Jalankan produk keamanan otomatis untuk mengungkap kerentanan selama pengembangan, pengujian, dan penerapan versi baru aplikasi.
7. Lakukan penilaian pengujian penetrasi manual secara teratur.[]