Cyberthreat.id - Badan keamanan siber AS dan Australia memperingatkan bahwa kerentanan keamanan yang umum dan mudah dieksploitasi di situs web dan aplikasi web dapat disalahgunakan untuk melakukan pelanggaran data skala besar.

Dalam pernyataan bersama yang dikutip Techcrunch.com, badan keamanan siber AS (CISA), dan Pusat Keamanan Siber Australia mengatakan kerentanan, yang dikenal sebagai referensi objek langsung tidak aman (IDOR), memungkinkan peretas jahat mengakses atau memodifikasi data sensitif di server organisasi, karena kurangnya pemeriksaan keamanan yang tepat.

“Kerentanan IDOR seperti memiliki kunci ke kotak surat Anda, tetapi kunci itu juga memungkinkan Anda membuka kunci setiap kotak surat lain di jalan Anda. IDOR bisa sangat bermasalah karena, seperti deretan kotak surat, aktor jahat dapat mengeksploitasinya secara berurutan satu demi satu dan mengakses data yang seharusnya tidak diizinkan,” tulis Techcrunch.com.

Disebutkan, kerentanan ini seringkali dapat dieksploitasi dengan pencacahan, IDOR dapat disalahgunakan "dalam skala besar" menggunakan alat otomatis.

“Meskipun ada laporan sumber terbuka sebelumnya tentang kerentanan referensi objek langsung tidak aman (IDOR) dalam aplikasi web, CISA dan mitra kami di Pusat Keamanan Siber Australia dan Badan Keamanan Nasional menyadari bahwa ini adalah kelemahan utama dengan terlalu sedikit pengakuan atau pemahaman dalam komunitas siber.”

“Pernyataan bersama hari ini sangat penting untuk membantu organisasi melindungi data sensitif dalam sistem mereka dan mendorong vendor untuk mengurangi prevalensi kerentanan dan kelemahan IDOR, ”James Stanley, Kepala Bagian Pengembangan Produk CISA, mengatakan kepada TechCrunch.

Tercatat bahwa IDOR telah mengakibatkan pelanggaran data besar di Amerika Serikat dan luar negeri.

Dalam beberapa tahun terakhir, IDOR telah mengakibatkan terbongkarnya ribuan dokumen medis oleh raksasa laboratorium AS, situs web pemerintah negara bagian yang membocorkan ribuan informasi pribadi pembayar pajak, aplikasi pelacakan kontak perguruan tinggi yang membocorkan status vaksinasi COVID-19, dan negara bagian -didukung aplikasi kesehatan yang memungkinkan akses ke data vaksinasi orang lain.

IDOR juga mengakibatkan tumpahan data massal ratusan juta dokumen hipotek AS, terungkapnya data lokasi real-time lebih dari satu juta kendaraan dari pelacak GPS yang cacat, dan bocornya ratusan ribu data telepon pribadi orang yang dicuri. oleh jaringan stalkerware global.

Karena itu, pengembang harus memastikan aplikasi web mereka melakukan pemeriksaan otentikasi dan otorisasi untuk mengurangi IDOR, dan bahwa perangkat lunak dirancang dengan aman, sebuah prinsip yang dipromosikan oleh CISA yang mendesak pembuat perangkat lunak untuk memasukkan keamanan dari awal dan di seluruh perangkat lunak.

“Secure-by-design adalah tema mendasar di sini. Vendor dan pengembang didorong untuk mengambil langkah yang tepat untuk menyediakan produk yang melindungi data sensitif pelanggan mereka dengan desain dan default,” kata Stanley dari CISA.

Badan dunia maya Australia mengatakan terus mengamati aktor jahat yang mengeksploitasi jaringan yang salah konfigurasi.

“Bahkan satu pelanggaran menggunakan kerentanan IDOR dapat berdampak nasional. Pelaku jahat yang mampu mengekstraksi data dapat memengaruhi infrastruktur penting, bisnis, pemerintah, dan individu,” kata Patrick Holmes dari Australian Cyber ​​​​Security Centre.[]