SAN FRANCISCO (AP) – Bug komputer yang membingungkan yang dijuluki “Heartbleed” menyebabkan masalah keamanan besar di Internet, karena situs web kesulitan memperbaiki masalah tersebut dan para peselancar web bertanya-tanya apakah mereka harus mengubah kata sandi untuk mencegah pencurian akun email dan kartu kredit mereka. nomor dan informasi sensitif lainnya.
Pengungkapan yang terungkap minggu ini mempengaruhi teknologi enkripsi yang banyak digunakan yang seharusnya melindungi akun online untuk berbagai komunikasi online dan perdagangan elektronik.
Peneliti keamanan yang menemukan ancaman tersebut sangat prihatin dengan kebocoran ini karena tidak terdeteksi selama lebih dari dua tahun. Mereka takut akan kemungkinan bahwa peretas diam-diam telah mengeksploitasi masalah tersebut sebelum masalah tersebut ditemukan. Mungkin juga tidak ada yang memanfaatkan bug tersebut sebelum keberadaannya diumumkan pada Senin malam.
Meskipun sekarang ada cara untuk menutup lubang keamanan, masih banyak alasan yang perlu dikhawatirkan, kata David Chartier, CEO Codenomicon. Sebuah tim kecil dari perusahaan keamanan Finlandia mendiagnosis Heartbleed saat bekerja secara independen dari peneliti Google Inc. lainnya yang juga menemukan ancaman tersebut.
“Saya rasa siapa pun yang telah menggunakan teknologi ini tidak dapat mengatakan secara pasti bahwa teknologi ini tidak dikompromikan,” kata Chartier.
Badan pajak Kanada tidak mau mengambil risiko. Mengutip risiko keamanan yang ditimbulkan oleh Heartbleed, Badan Pendapatan Kanada telah menutup akses publik ke situs webnya “untuk melindungi integritas informasi yang kami simpan,” menurut pemberitahuan yang diposting di situs webnya pada hari Rabu. Badan tersebut mengatakan pihaknya berharap untuk membuka kembali situs webnya akhir pekan ini. Penutupan ini terjadi hanya tiga minggu dari batas waktu Kanada untuk mengajukan pengembalian pajak tahun 2013 pada tanggal 30 April.
Layanan Pendapatan Internal AS mengatakan dalam sebuah pernyataan pada hari Rabu bahwa mereka tidak terpengaruh oleh lubang keamanan tersebut. “IRS menyarankan pembayar pajak untuk terus mengajukan pengembalian pajak seperti biasa sebelum batas waktu 15 April,” kata badan tersebut.
TurboTax, perangkat lunak persiapan pajak paling populer, juga mengeluarkan pernyataan pada hari Rabu yang meyakinkan masyarakat bahwa situs webnya sekarang dilindungi dari Heartbleed.
Pakar keamanan komputer masih menyarankan orang untuk mempertimbangkan mengubah semua kata sandi online mereka.
“Saya akan mengubah setiap kata sandi di mana pun karena ada kemungkinan ada sesuatu yang diintip,” kata Wolfgang Kandek, chief technology officer Qualys, pembuat perangkat lunak analisis keamanan. “Anda tidak tahu karena sebuah serangan tidak akan meninggalkan jejak yang jelas.”
Google sangat yakin bahwa mereka telah melakukan vaksinasi terhadap bug Heartbleed sebelum kerusakan terjadi sehingga perusahaan Mountain View, California, memberi tahu penggunanya bahwa mereka tidak perlu mengubah kata sandi yang mereka gunakan untuk mengakses Gmail, YouTube, dan produk lainnya. . akun. Lebih dari 425 juta akun Gmail saja telah dibuat di seluruh dunia.
Facebook, yang memiliki lebih dari 1,2 miliar pemegang akun, juga yakin jejaring sosial daringnya telah menghilangkan ancaman Heartbleed. Namun perusahaan Menlo Park, California, “mendorong orang-orang untuk mengambil kesempatan ini untuk mengikuti praktik yang baik dan membuat kata sandi unik untuk akun Facebook Anda yang tidak Anda gunakan di situs lain.”
Layanan pesan singkat online Twitter Inc. dan raksasa e-commerce Amazon.com Inc. mengatakan situs mereka tidak terkena Heartbleed. Ebay Inc., yang mengoperasikan layanan pembayaran PayPal serta pasar belanja online, mengatakan sebagian besar layanannya telah terhindar dari bug tersebut.
Mengubah kata sandi pada layanan online lain yang berpotensi terkena Heartbleed tidak akan banyak membantu, kata pakar keamanan, sampai masalahnya teratasi. Perangkat lunak pemecahan masalah dirilis pada hari Senin.
Sejauh ini, sangat sedikit situs web yang mengaku terkena dampak Heartbleed, meskipun bug tersebut diyakini tersebar luas.
“Akan sulit bagi rata-rata orang di jalanan untuk memahaminya karena sulit untuk mengetahui siapa yang melakukan apa dan apa yang aman,” kata Chartier.
Yahoo Inc. dan Google adalah salah satu layanan Internet paling terkemuka yang mengatakan bahwa mereka telah mengisolasi sebagian besar layanan paling populer dari Heartbleed.
Di Yahoo, perbaikan dilakukan pada daftar layanan yang mencakup beranda, mesin pencari, email, bagian keuangan dan olahraga, layanan berbagi foto Flickr, dan layanan blog Tumblr. Dalam posting blog hari Rabu, Google mengatakan telah menerapkan patch Heartbleed ke mesin pencari, Gmail, YouTube, Wallet dan Play Store untuk aplikasi seluler dan konten digital lainnya.
Yahoo menyarankan penggunanya untuk “memutar kata sandi mereka” dan menambahkan nomor ponsel cadangan ke akun. Nomor tersebut dapat digunakan untuk memverifikasi identitas pengguna jika terjadi kendala dalam mengakses akun akibat peretasan.
Heartbleed membuat celah di SSL/TLS, sebuah teknologi enkripsi yang ditandai dengan gembok kecil tertutup dan “https:” di browser web untuk menunjukkan bahwa lalu lintas aman. Cacat ini memungkinkan untuk mengintip lalu lintas Internet meskipun gemboknya ada. Penyusup juga dapat mengambil kunci untuk mendekripsi data terenkripsi tanpa pemilik situs web mengetahui bahwa pencurian telah terjadi, menurut peneliti keamanan.
Masalahnya hanya mempengaruhi varian SSL/TLS yang dikenal sebagai OpenSSL, namun ini merupakan salah satu varian paling umum di Internet.
Sekitar dua pertiga server web mengandalkan OpenSSL, kata Chartier. Artinya, informasi yang melewati ratusan ribu situs web bisa saja rentan, meskipun ada perlindungan yang ditawarkan oleh enkripsi. Selain email dan obrolan, OpenSSL juga digunakan untuk mengamankan jaringan pribadi virtual, yang digunakan oleh karyawan untuk terhubung ke jaringan perusahaan dalam upaya melindungi informasi rahasia dari pengintaian.
Heartbleed mengungkap kelemahan dalam enkripsi pada saat yang sama ketika layanan Internet besar seperti Yahoo, Google, Microsoft dan Facebook memperluas penggunaan teknologi tersebut untuk meyakinkan pengguna tentang kesucian data pribadi mereka.
Langkah-langkah keamanan tambahan ini diambil sebagai respons terhadap meningkatnya kekhawatiran mengenai pengawasan pemerintah AS terhadap aktivitas online dan komunikasi lainnya. Pengintaian ini terungkap selama 10 bulan terakhir melalui serangkaian dokumen yang bocor dari mantan kontraktor NSA Edward Snowden.
Memperbaiki kelemahan Heartbleed masih tidak menjamin bahwa data online seseorang tidak disusupi, kata Nathaniel Couper-Noles, konsultan keamanan utama di Neohapsis. “Kuda itu mungkin sudah keluar dari kandang, jika kata sandi atau kunci SSL disusupi sebelum patch diterapkan,” kata Couper-Noles. “Dibutuhkan banyak upaya dan uang untuk memulihkan tingkat keamanan nominal.”
Dalam postingan hari Selasa yang mengumumkan bahwa mereka telah menginstal patch Heartbleed, Tumblr memberikan beberapa saran blak-blakan kepada penggunanya.
“Ini tetap berarti bahwa ikon gembok kecil (HTTPS) yang kita percayai untuk menjaga kata sandi, email pribadi, dan kartu kredit kita tetap aman sebenarnya membuat semua informasi pribadi dapat diakses oleh siapa saja yang mengetahui tentang eksploitasi tersebut,” kata Tumblr. “Ini mungkin hari yang baik untuk meminta izin sakit dan meluangkan waktu untuk mengubah kata sandi Anda di mana pun — terutama layanan dengan keamanan tinggi seperti email, penyimpanan file, dan perbankan, yang mungkin telah disusupi oleh bug ini.”
___
Jesdanun melaporkan dari New York.
