Kaskus Tambal Keamanan biar Bebas Serangan Heartbleed
Kaskus tetap mengimbau pengguna Kaskus dan pengguna layanan internet lain untuk mengganti kata sandi (password)
Editor: Fajar Anjungroso
TRIBUNNEWS.COM, JAKARTA – Kaskus masuk dalam daftar layanan internet yang rentan terhadap serangan siber Heartbleed, yang berpotensi mencuri password serta informasi pribadi pengguna. Kaskus mengklaim telah menambal celah keamanan itu agar layanannya terbebas dari serangan Heartbleed.
Pendiri dan Chief Community Officer Kaskus, Andrew Darwis mengatakan, pihaknya melakukan perbaikan setelah mendapat laporan dari tim pemrogram dan pengguna bahwa terdapat celah keamanan Heartbleed pada situs web Kaskus yang memanfaatkan protokol OpenSSL untuk mengenkripsi data pengguna.
Pada 10 April 2014, pengguna Kaskus dengan akun "minimiza," mengirim email kepada Kaskus untuk membuktikan bagaimana dengan bantuan sebuah skrip pihak yang tidak bertanggung jawab dapat membajak atau mencuri akun pengguna Kaskus lainnya.
"Akun 'minimiza' itu lapor supaya kita segera patch. Saat itu juga bug Heartbleed dan SSL sudah kami patch dan Kasksus sudah aman. Kami berterima kasih kepada 'minimiza' yang peduli terhadap Kaskus dan jutaan pengguna Kaskus lain dari serangan Heartbleed," ujar Andrew saat dihubungi KompasTekno.
Kendati demikian, ia tetap mengimbau pengguna Kaskus dan pengguna layanan internet lain untuk mengganti kata sandi (password) atas akun sebuah layanan. Karena, menurut Andrew, bug Heartbleed ini sifatnya global dan semua situs web yang memanfaatkan OpenSSL akan rentan terhadap celah keamanan.
Temuan Heartbleed
Heartbleed ditemukan setelah tim peneliti keamanan komputer di Universitas Michigan, Amerika Serikat, menggunakan pemindai jaringan open source yang disebut ZMap. ZMap dikembangkan di Universitas Michigan oleh Asisten Profesor J Alex Halderman dan mahasiswa pascasarjana ilmu komputer, Zakir Durumeric dan Eric Wusterow.
Zmap berguna untuk mencari server internet yang rentan terhadap Heartbleed yang berpotensi digunakan untuk mencuri username, password, nomor kartu kredit, dan informasi penting lain.
Dengan mengeksploitasi celah Heartbleed pada OpenSSL, peretas bisa mencuri informasi, meskipun sebuah situs web atau penyedia layanan sudah melakukan enkripsi (ditandai dengan gambar "gembok" dan prefiks "https:" pada URL).
Celah keamanan ini ditemukan pada OpenSSL, sebuah protokol sekuriti open-source yang digunakan untuk enkripsi informasi sensitif melalui fungsi SSL (secure sockets layer) di banyak layanan berbasis internet.
Heartbleed berimbas pada semua situs web dan layanan yang menjalankan OpenSSL versi 1.0.1 hingga 1.01f. Versi-versi OpenSSL yang rawan tersebut sudah banyak dipakai sejak Mei 2012.
Artinya, selama dua tahun, celah ini telah beredar tanpa terdeteksi di semua penyedia layanan yang menggunakan enkripsi OpenSSL, mulai dari aplikasi, situs web internet, hingga institusi perbankan.
Masalahnya menjadi besar karena OpenSSL digunakan oleh 66 persen dari semua bagian web internet untuk mengenkripsi data sehingga celah keamanan tersebar luas.
Sebagian nama layanan yang terkena dampak Heartbleed bisa dilihat dalam sebuah daftar yang dibuat pada 8 April 2014. Semenjak daftar tersebut dipublikasikan, beberapa penyedia layanan, seperti Facebook, Yahoo, Gmail, Tumblr, dan Dropbox, telah menyalurkan patch untuk menambal celah keamanan yang ada.