Perusahaan Autentikasi Alami Kebocoran Data, Kode OTP ke Akun Google Tersebar
Jakarta, FreedomNews - Sebuah perusahaan teknologi yang mengirimkan jutaan pesan teks SMS kode keamanan sekali pakai (OTP) dikabarkan mengalami kebocoran yang membuat peretas dapat mengakses dan masuk ke akun Google, Facebook dan TikTok pengguna. Kejadian ini awalnya ditemukan oleh Peneliti Keamanan dan Pakar Siber Anurag Sen di internet. Dia telah menjalani pemeriksaan rutin terhadap basis data selama 5 tahun terakhir.
Ia juga mengatakan bahwa basis data internal tersebut dibiarkan tidak terlindungi tanpa kata sandi. Siapapun yang mengetahui alamat IP basis data tersebut akan dapat mengaksesnya dengan menggunakan web browser biasa tanpa perlu menggunakan metode yang rumit. Melansir dari TechCrunch Selasa , 5 Maret 2024, perusahaan yang mengalami kebocoran data adalah YX International. Perusahaan yang memproduksi alat jejaring seluler dan menyediakan layanan pesan teks SMS.
Dalam basis data yang terbuka, TechCrunch menemukan kumpulan alamat email internal dan kata sandi yang sesuai yang terkait dengan YX International. YX International mengklaim melakukan pengiriman 5 juta teks SMS per hari. Ketika diberi tahu mengenai kebocoran data, perusahaan tersebut langsung mengamankan datanya. Anurag Sen mengatakan banyak perusahaan memindahkan server produksi mereka ke cloud tetapi otentikasi dan enkripsi dasar tidak diterapkan. "Metode untuk menyimpan dan memproses 2FA (Two Factor Authentication) harus lebih kuat dan aman," kata Sen.
Autentikasi dua faktor, metode yang sering dipakai untuk memperkuat keamanan akun, umumnya melibatkan pengiriman kode tambahan ke perangkat pengguna, berfungsi sebagai penghalang terhadap pencurian kata sandi dan akses yang tidak sah. Namun, temuan terbaru menunjukkan bahwa kode yang dikirim melalui pesan teks SMS dapat menimbulkan risiko, karena rentan terhadap penyadapan atau paparan.
Berbeda dengan alternatif yang lebih aman seperti pembangkit kode berbasis aplikasi, metode otentikasi berbasis SMS rentan terhadap eksploitasi, seperti yang ditunjukkan oleh kebocoran kode dari basis data terbuka ke web terbuka. Meskipun sifatnya yang sementara, kode yang dikirim melalui SMS kurang memiliki perlindungan yang kuat yang diperlukan untuk melindungi informasi sensitif dengan efektif.
Walaupun demikian, penasihat keamanan siber global di ESET, Jake Moore, mengatakan bahwa autentikasi dua faktor menggunakan SMS lebih aman ketimbang hanya mengamankan menggunakan kata sandi semata. "Namun ketika ancaman kini berlapis-lapis, akun-akun tersebut memerlukan perlindungan berlapis-lapis yang paling kuat agar tetap aman.” tambahnya. (dtf/ tek)