SAN FRANCISCO (AP) – Kelemahan yang mengkhawatirkan dalam keamanan Internet telah menyebabkan jutaan kata sandi, nomor kartu kredit, dan informasi sensitif lainnya berpotensi dicuri oleh peretas yang diam-diam mengeksploitasi masalah tersebut sebelum ditemukan.
Pengungkapan yang terungkap minggu ini menyentuh teknologi enkripsi yang seharusnya melindungi akun online untuk email, pesan instan, dan berbagai perdagangan elektronik.
Peneliti keamanan yang mengungkap ancaman tersebut, yang dikenal sebagai “Heartbleed”, sangat prihatin dengan pelanggaran tersebut karena tidak terdeteksi selama lebih dari dua tahun.
Meskipun sekarang ada cara untuk menutup lubang keamanan, masih banyak alasan yang perlu dikhawatirkan, kata David Chartier, CEO Codenomicon. Sebuah tim kecil dari perusahaan keamanan Finlandia mendiagnosis Heartbleed saat bekerja secara independen dari peneliti Google Inc. lainnya yang juga menemukan ancaman tersebut.
“Saya rasa siapa pun yang telah menggunakan teknologi ini tidak dapat mengatakan secara pasti bahwa teknologi ini tidak dikompromikan,” kata Chartier.
Chartier dan pakar keamanan komputer lainnya menyarankan orang untuk mempertimbangkan mengubah semua kata sandi online mereka.
“Saya akan mengubah setiap kata sandi di mana pun karena ada kemungkinan ada sesuatu yang diintip,” kata Wolfgang Kandek, chief technology officer Qualys, pembuat perangkat lunak analisis keamanan. “Anda tidak tahu karena sebuah serangan tidak akan meninggalkan jejak yang jelas.”
Namun mengubah kata sandi tidak akan membantu, kata para ahli, sampai layanan yang terkena dampak menginstal perangkat lunak yang dirilis Senin untuk memperbaiki masalah tersebut. Hal ini memberikan tanggung jawab pada layanan Internet yang terpengaruh oleh Heartbleed untuk memperingatkan penggunanya tentang potensi risiko dan memberi tahu mereka ketika perbaikan Heartbleed diinstal sehingga mereka dapat mengubah kata sandinya.
“Akan sulit bagi rata-rata orang di jalanan untuk memahaminya karena sulit untuk mengetahui siapa yang melakukan apa dan apa yang aman,” kata Chartier.
Yahoo Inc., yang memiliki lebih dari 800 juta pengguna di seluruh dunia, adalah salah satu layanan Internet yang mungkin dirugikan oleh Heartbleed. Perusahaan Sunnyvale, California, mengatakan sebagian besar layanan terpopulernya — termasuk olahraga, keuangan, dan Tumblr — telah diperbaiki, namun pengerjaan masih berlangsung pada produk lain yang tidak diidentifikasi dalam pernyataannya pada hari Selasa.
“Kami fokus untuk memberikan pengalaman teraman bagi pengguna kami di seluruh dunia dan terus berupaya melindungi data pengguna kami,” kata Yahoo.
Heartbleed membuat celah di SSL/TLS, sebuah teknologi enkripsi yang ditandai dengan gembok kecil tertutup dan “https:” di browser web untuk menunjukkan bahwa lalu lintas aman. Cacat ini memungkinkan untuk mengintip lalu lintas Internet meskipun gemboknya ada. Penyusup juga dapat mengambil kunci untuk mendekripsi data terenkripsi tanpa pemilik situs web mengetahui bahwa pencurian telah terjadi, menurut peneliti keamanan.
Masalahnya hanya mempengaruhi varian SSL/TLS yang dikenal sebagai OpenSSL, namun ini merupakan salah satu varian paling umum di Internet.
Sekitar dua pertiga server web mengandalkan OpenSSL, kata Chartier. Artinya, informasi yang melewati ratusan ribu situs web bisa saja rentan, meskipun ada perlindungan yang ditawarkan oleh enkripsi. Selain email dan obrolan, OpenSSL juga digunakan untuk mengamankan jaringan pribadi virtual, yang digunakan oleh karyawan untuk terhubung ke jaringan perusahaan dalam upaya melindungi informasi rahasia dari pengintaian.
Heartbleed mengungkap kelemahan dalam enkripsi pada saat yang sama ketika layanan Internet besar seperti Yahoo, Google, Microsoft dan Facebook memperluas penggunaan teknologi mereka untuk meyakinkan pengguna tentang kesucian data pribadi mereka. Langkah-langkah keamanan tambahan ini diambil sebagai respons terhadap meningkatnya kekhawatiran mengenai pengawasan pemerintah AS terhadap aktivitas online dan komunikasi lainnya. Pengintaian ini terungkap selama 10 bulan terakhir melalui serangkaian dokumen yang bocor dari mantan kontraktor NSA Edward Snowden.
Terlepas dari kekhawatiran yang diangkat oleh Heartbleed, Codenomicon mengatakan bahwa banyak situs konsumen besar kemungkinan tidak akan terpengaruh karena “pilihan konservatif” atas peralatan dan perangkat lunak. “Ironisnya, layanan yang lebih kecil dan lebih progresif atau layanan yang telah ditingkatkan ke enkripsi terbaru dan tercanggih akan terkena dampak paling besar,” kata perusahaan keamanan itu dalam sebuah posting blog.
Meskipun mungkin memerlukan waktu berbulan-bulan bagi situs web kecil untuk menginstal solusi Heartbleed, Chartier memperkirakan bahwa semua layanan Internet utama akan bertindak cepat untuk melindungi reputasi mereka.
Dalam postingan hari Selasa yang mengumumkan bahwa mereka telah menginstal perbaikan Heartbleed, Tumblr memberikan beberapa saran blak-blakan kepada penggunanya.
“Ini tetap berarti bahwa ikon gembok kecil (HTTPS) yang kita percayai untuk menjaga kata sandi, email pribadi, dan kartu kredit kita tetap aman sebenarnya membuat semua informasi pribadi dapat diakses oleh siapa saja yang mengetahui tentang eksploitasi tersebut,” kata Tumblr. “Ini mungkin hari yang baik untuk meminta izin sakit dan meluangkan waktu untuk mengubah kata sandi Anda di mana pun — terutama layanan dengan keamanan tinggi seperti email, penyimpanan file, dan perbankan, yang mungkin telah disusupi oleh bug ini.”
___
Jesdanun melaporkan dari New York.
___
On line:
