7 Risiko Keamanan Aplikasi yang Dapat Dicegah

1. Pendahuluan#

Perusahaan besar, termasuk Uber, MGM Resorts, CircleCI, Ticketmaster, dan berbagai bisnis lainnya, menghadapi kebocoran keamanan dari September 2022 hingga Mei 2024 setelah penyerang memperoleh akses tidak sah ke sistem akun pengguna mereka. Serangan tersebut menyebabkan kerugian ratusan juta dolar AS sekaligus mengekspos data pribadi dari lebih dari 600 juta pengguna, dan sistem autentikasi usang pada saat itu seharusnya dapat mencegah insiden keamanan ini.

Cerita ini tidak menunjukkan bukti adanya zero-day canggih atau penyerang keamanan siber yang menggunakan kerentanan yang tidak diketahui untuk melakukan serangan mereka. Kasus-kasus ini mengungkapkan bagaimana organisasi gagal mencegah kebocoran keamanan. Sebagian besar menyadari serangan kelelahan MFA (MFA fatigue attacks) namun gagal melindungi dari serangan tersebut, dan mereka menyadari kerentanan sistem berbasis kata sandi namun tetap menggunakannya.

2. Kegagalan Autentikasi Warisan#

Autentikasi yang lemah atau warisan (legacy) adalah titik masuk yang umum bagi penyerang. Mayoritas kebocoran keamanan dimulai dengan penyerang yang mendapatkan kata sandi yang dicuri atau yang pernah digunakan sebelumnya, meskipun organisasi memiliki akses ke sistem autentikasi kunci sandi mapan, yang memberikan perlindungan phishing. Kebocoran MGM Resorts tahun 2023 dimulai ketika penyerang menggunakan vishing untuk menghubungi dukungan meja bantuan TI, yang memungkinkan mereka untuk mereset kredensial dan kemudian menyebarkan ransomware serta menyebabkan gangguan sistem selama tujuh hari.

Sistem keamanan MGM dan organisasi lain menggunakan kata sandi bersama dengan autentikasi dua faktor berbasis SMS, yang gagal melindungi terhadap serangan rekayasa sosial dan pencurian kredensial. Organisasi tersebut gagal menetapkan sistem autentikasi yang lebih baik karena meskipun mereka memahami ancaman keamanan, sistem dan proses kerja mereka saat itu menghalangi mereka untuk melakukan perubahan.

Kunci sandi yang menggunakan kriptografi kunci publik dan identifikasi biometrik, akan secara signifikan mengurangi risiko keberhasilan serangan ini. Kunci sandi lebih aman daripada kata sandi karena pengguna tidak dapat meresetnya melalui akses jarak jauh atau dukungan meja bantuan dengan membagikan kode reset, yang melindungi terhadap serangan rekayasa sosial. Keamanan kunci sandi tetap rentan terhadap metode serangan spesifik, yang terjadi ketika proses pemulihan akun tidak diamankan dengan benar dan ketika perangkat terinfeksi malware.

3. Serangan Berbasis Sesi dan Cookie#

Penyerang berfokus pada perolehan cookie karena hal itu akan membantu mendapatkan akses sistem dan melewati semua prosedur autentikasi. Kebocoran CircleCI tahun 2022 menggarisbawahi hal ini dengan menunjukkan bagaimana malware infostealer di laptop karyawan dapat dengan mudah mencuri cookie sesi aktif. Dengan menggunakan ini, penyerang kemudian melewati autentikasi dua faktor dan mendapatkan akses ke sistem produksi.

Cookie sesi berfungsi sebagai sarana untuk menghindari kontrol akses dengan token pembawanya, memfasilitasi eksposur data sensitif. Untuk mencegah insiden tersebut, organisasi dapat mengimplementasikan Device Bound Session Credentials (DBSC), yang melindungi pengguna dari pencurian sesi dengan menggunakan metode kriptografi untuk mengikat sesi dengan perangkat tertentu. Ini membuat cookie yang dicuri dari komputer lain mustahil digunakan. Sistem DBSC menawarkan perlindungan efektif terhadap malware infostealer yang berjalan pada berbagai perangkat, tetapi tidak dapat menghentikan serangan ketika malware menginfeksi perangkat yang awalnya terdaftar.

4. Otorisasi yang Rusak#

Ketika penyerang menembus kontrol akses dalam aplikasi, mereka dapat bergerak secara lateral tanpa mempedulikan izin mereka. Risiko keamanan dari kerentanan otorisasi terus tinggi karena penyerang berhasil menggunakan kontrol akses yang tidak memadai untuk bernavigasi di antara komponen sistem selama beberapa kebocoran jaringan.

Untuk mengidentifikasi kerentanan IDOR (Insecure Direct Object Reference), pengembang aplikasi harus menggunakan pemodelan ancaman berbasis konsep untuk mendeteksi struktur manajemen akses dasar dan mengimplementasikan proses tinjauan kode untuk memvalidasi izin akun layanan.

Memilih penugasan peran dan manajemen izin yang kompleks alih-alih model hak istimewa paling sedikit (least-privilege) dapat membuat organisasi rentan terhadap masalah otorisasi. Penugasan peran yang kompleks dapat menyebabkan akses tidak sah ke informasi dan fungsi sensitif dalam aplikasi yang berhadapan dengan pelanggan. Organisasi tanpa kerangka otorisasi yang aman tidak dapat melindungi data mereka dari akses dan operasi yang tidak sah.

Dengan peningkatan masalah keamanan B2C, satu akun yang dikompromikan dapat menyebabkan kerusakan signifikan pada banyak akun pengguna. Dengan menerapkan manajemen akses istimewa, organisasi dapat memberi karyawan dan pelanggan mereka hanya akses minimum yang diperlukan untuk menyelesaikan pekerjaan mereka. Selain itu, pemodelan ancaman berbasis konsep secara teratur dan tinjauan kode dapat membantu menemukan risiko dan kerentanan dengan mudah.

5. Integrasi AI yang Tidak Aman#

Integrasi GenAI dan LLM yang cepat ke dalam aplikasi telah melampaui kemampuan kontrol tradisional untuk mendeteksi perubahan ini, yang mengakibatkan risiko keamanan yang tidak terlihat. Kebocoran Snowflake tahun 2024 mendemonstrasikan bagaimana pelaku ancaman menggunakan kredensial yang dicuri dari serangan malware infostealer untuk memasuki lingkungan pelanggan Snowflake, yang tidak mengimplementasikan autentikasi multi-faktor. Serangan tersebut mengkompromikan lebih dari 165 organisasi, yang mencakup Ticketmaster dengan 560 juta catatan pelanggan serta AT&T dan Santander Bank.

Organisasi sering kali gagal mengakui AI sebagai bagian inti dari lingkungan TI, membiarkan sumber daya AI seperti model, penyimpanan data vektor, dan alur kerja AI rentan terhadap risiko miskonfigurasi dan serangan siber. Kebanyakan organisasi merasa sulit untuk memantau sistem AI secara efektif karena "shadow AI", di mana individu yang tidak berwenang dapat melakukan serangan berbasis kredensial tanpa terdeteksi secara internal.

Jika organisasi menerapkan kontrol dasar seperti validasi input, isolasi, dan pemantauan berkelanjutan terhadap sistem AI mereka seperti yang mereka lakukan untuk infrastruktur TI lainnya, insiden keamanan ini seharusnya dapat dihindari. Organisasi dapat mengotomatiskan identifikasi dan remediasi miskonfigurasi menggunakan alat keamanan AI, yang menyediakan inventaris lengkap semua sumber daya AI.

6. Miskonfigurasi Lingkungan Cloud dan Runtime#

Miskonfigurasi di cloud, termasuk bucket penyimpanan yang terekspos, grup keamanan yang terlalu permisif, dan kontainer yang terekspos, dapat mengakibatkan insiden keamanan. Kebocoran ePallet pada tahun 2022 menunjukkan bahwa bucket Amazon S3 yang salah dikonfigurasi dapat mengekspos data sensitif pelanggan dari bisnis lain yang menggunakan alat mereka. Penyerang menggunakan dua vektor utama untuk mengakses informasi sensitif: bucket penyimpanan yang tidak terlindungi dan grup keamanan dengan kontrol akses yang tidak efektif.

Pemindaian Kepatuhan Dasar menunjukkan serangan ini berasal dari dua sumber utama, yaitu penyimpanan yang dapat diakses publik dengan data spesifik pengguna dan port manajemen virtual yang terekspos. Organisasi mungkin melihat miskonfigurasi ini sebagai perbaikan jangka pendek untuk kepatuhan, tetapi kebanyakan menjadi titik awal kebocoran keamanan.

Mengidentifikasi dan memulihkan miskonfigurasi harus dilakukan secara berkelanjutan melalui manajemen postur keamanan cloud atau pemeriksaan keamanan runtime, yang secara signifikan mengurangi risiko penyerang mengeksploitasi kerentanan. Organisasi dapat menggunakan pemindaian otomatis dan alat pemantauan untuk menemukan miskonfigurasi, dan platform pemantauan kemudian dapat memulihkannya.

7. Keamanan yang Hilang di SDLC#

Kerentanan masuk ke proses produksi ketika fungsi keamanan tidak diintegrasikan dengan baik ke dalam proses pengembangan perangkat lunak. Tindakan GitHub yang salah dikonfigurasi di pipeline CI/CD milik sebuah startup kripto secara diam-diam membagikan kredensial AWS, yang membantu penyerang menambang USD 800 dalam bentuk mata uang kripto.

SAST/DAST, tinjauan kode yang aman, dan pemindaian dependensi dapat mengidentifikasi kerentanan keamanan yang umum. Ini bisa berkisar dari serangan injeksi hingga deserialisasi yang tidak aman dan referensi objek langsung yang tidak aman (IDOR), tetapi masalah ini terus berlanjut ketika keamanan tidak mendapat perhatian.

Integrasi keamanan ke dalam siklus hidup pengembangan perangkat lunak (SDLC) memungkinkan pengembang untuk mengidentifikasi dan menyelesaikan kerentanan keamanan, yang kemudian dapat mereka terapkan pada aplikasi web mereka sebelum disebarkan ke produksi. Pencegahan masalah ini mengharuskan organisasi untuk mengimplementasikan tiga praktik keamanan dasar, yang mencakup pemindaian otomatis, manajemen dependensi, dan tinjauan kode yang aman.

8. Proses Pemantauan dan Remediasi yang Tidak Memadai#

Organisasi terus mengalami kebocoran keamanan sebagian besar karena mereka tidak dapat mengenali indikator peringatan dan tidak memiliki proses remediasi yang ditetapkan untuk anomali sistem. Mereka harus secara konsisten memantau sistem komputer mereka dan menetapkan prosedur respons yang jelas untuk pelanggaran keamanan, mengikuti standar industri saat ini sehubungan dengan kebocoran Uber tahun 2022. Tanpa pencatatan komprehensif atas peristiwa keamanan, organisasi kesulitan memantau penjejalan kredensial (credential stuffing), upaya akses perangkat yang tidak biasa, atau transaksi token yang abnormal.

Organisasi merasa kesulitan untuk mendeteksi autentikasi dan upaya masuk atau untuk mencatat peristiwa pendaftaran pengguna karena informasi yang mereka kumpulkan kurang detail yang cukup untuk identifikasi awal dari penyalahgunaan hak keamanan.

Sistem organisasi mengidentifikasi dan mengelola kejadian abnormal melalui telemetri yang berfokus pada privasi serta prosedur respons algoritmik yang otomatis. Kemampuan deteksi dan respons AI akan membantu organisasi mengidentifikasi hubungan di antara kejadian keamanan dan menghentikan terjadinya kebocoran.

9. Kesimpulan#

Bagian yang paling membuat frustrasi dalam mempelajari kebocoran MGM, Snowflake, Uber, dan CircleCI adalah menyadari bahwa insiden ini seharusnya dapat dihindari. Insiden menjadi tidak terhindarkan karena teknologi saat itu kekurangan kemampuan yang diperlukan yang sudah digunakan oleh bisnis yang berfokus pada keamanan untuk sistem autentikasi mereka.

Semua organisasi dalam laporan ini memiliki akses untuk menerapkan kunci sandi sebelum sistem mereka dibobol. Sementara kunci sandi merupakan teknologi yang tersedia dan mapan selama tahun 2022-2024, Device Bound Session Credentials (DBSC) belum tersedia secara luas hingga tahun 2024. Sistem tersebut mencakup beberapa kontrol keamanan cloud, seperti penegakan MFA, allowlist jaringan, IAM dengan hak istimewa paling sedikit (least-privilege), dan pemantauan. Namun, kontrol ini memerlukan penyiapan manual untuk perlindungan penuh.

Tim keamanan beberapa organisasi mendukung kontrol ini, namun mereka gagal mengatasi resistensi seluruh perusahaan terhadap perubahan. Hasilnya membawa eksposur data pribadi dari lebih dari 600 juta orang, penyelidikan regulasi, dan kerugian total yang melampaui ratusan juta dolar AS.

Organisasi telah melakukan penelitian yang menunjukkan bahwa serangan berbasis kredensial akan meningkat dengan laju yang lebih cepat, sehingga organisasi perlu segera menangani ancaman keamanan penting ini. Organisasi Anda perlu menentukan apakah akan mengadopsi sistem autentikasi modern sebelum atau setelah organisasi lain menggunakan kegagalan keamanan Anda sebagai contoh dalam investigasi kebocoran mereka.

Alat keamanan aplikasi telah tersedia, dan beroperasi secara otomatis melalui proses sederhana yang tidak memerlukan prosedur instalasi yang rumit. ROI dapat diukur. Komunitas keamanan kekurangan rasa urgensi, yang akan memungkinkannya untuk menyadari modernisasi autentikasi sebagai kontrol keamanan esensial. Organisasi perlu mengambil tindakan segera karena panggilan meja bantuan berikutnya, email phishing, dan muatan infostealer akan berkembang menjadi insiden senilai ratusan juta dolar AS.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan#

Bagaimana kebocoran CircleCI melewati autentikasi dua faktor?#

Pada kebocoran CircleCI tahun 2022, malware infostealer di laptop karyawan mencuri cookie sesi aktif secara langsung. Karena cookie sesi bertindak sebagai token pembawa (bearer token) yang memberikan akses langsung, penyerang menggunakannya untuk melewati autentikasi dua faktor sepenuhnya dan mencapai sistem produksi.

Apa perbedaan antara DBSC dan cookie sesi standar dalam hal keamanan?#

Cookie sesi standar dapat dicuri oleh malware infostealer dan digunakan kembali dari perangkat mana pun, sehingga melewati kontrol autentikasi. Device Bound Session Credentials (DBSC) menggunakan metode kriptografi untuk mengikat sesi ke perangkat spesifik yang membuatnya, sehingga cookie yang dicuri tidak dapat digunakan kembali dari mesin yang dikendalikan penyerang.

Mengapa kontrol akses yang rusak menyebabkan kerusakan luas pada kebocoran Snowflake?#

Kebocoran Snowflake mengkompromikan lebih dari 165 organisasi pelanggan karena lingkungan penyewa (tenant) individu tidak memiliki penegakan MFA, yang berarti satu set kredensial yang dicuri dapat membuka seluruh penyimpanan data pelanggan. Ticketmaster sendiri mengalami eksposur 560 juta catatan pelanggan akibat dari celah kontrol tunggal ini.

Kegagalan keamanan SDLC apa yang menyebabkan insiden penambangan mata uang kripto GitHub Actions?#

Alur kerja GitHub Actions yang salah dikonfigurasi pada pipeline CI/CD startup kripto secara diam-diam membocorkan kredensial AWS kepada penyerang, yang menggunakannya untuk menambang mata uang kripto senilai 800 dolar AS. Artikel tersebut mengidentifikasi pemindaian SAST/DAST otomatis, manajemen dependensi, dan tinjauan kode yang aman sebagai tiga praktik yang akan mendeteksi miskonfigurasi ini sebelum penyebaran ke produksi.