Layanan streaming terkemuka seperti Netflix dan Disney+ telah melakukan investasi besar selama bertahun-tahun untuk mengamankan konten mereka. Mereka sering mencegah pengguna mengakses video tanpa langganan atau menonton konten yang diblokir secara regional. Namun, temuan baru yang dipresentasikan hari ini di konferensi keamanan Defcon di Las Vegas menunjukkan bahwa platform streaming yang digunakan untuk siaran internal perusahaan atau siaran langsung olahraga bisa memiliki celah desain dasar yang memungkinkan siapa pun mengakses banyak konten tanpa login.
Peneliti independen Farzan Karimi pertama kali menyadari bertahun-tahun lalu bahwa kesalahan konfigurasi dalam API (Application Programming Interfaces) dapat mengekspos konten streaming ke akses tidak sah. Pada 2020, ia mengungkap sejumlah celah serupa di Vimeo yang bisa memungkinkannya mengakses hampir 2.000 rapat internal perusahaan serta siaran langsung lainnya. Perusahaan itu segera memperbaiki masalah tersebut, tetapi temuan itu membuat Karimi khawatir bahwa masalah serupa mungkin tersembunyi di platform lain.
Bertahun-tahun kemudian, ia menyadari bahwa dengan menyempurnakan teknik untuk memetakan cara API mengambil data dan berinteraksi, ia bisa mencari platform lain yang rentan. Di Defcon, Karimi mempresentasikan temuan tentang kerentanan saat ini di satu platform streaming olahraga mainstream—ia tidak menyebutkan nama situsnya karena masalahnya belum diperbaiki—serta merilis alat untuk membantu orang lain mengidentifikasi masalah serupa di situs-situs lain.
“Untuk rapat internal perusahaan atau pertemuan sensitif lainnya, mungkin ada informasi kunci yang dibagikan—misalnya CEO atau eksekutif lain membahas PHK atau properti intelektual sensitif,” kata Karimi kepada WIRED sebelum presentasinya. “Anda bisa melihat pola buruk di betapa mudahnya melewati autentikasi untuk mengakses streaming, tapi masalah semacam ini sebelumnya dianggap memerlukan pengetahuan mendalam tentang bisnis tertentu untuk bisa diidentifikasi.”
API adalah layanan yang mengambil dan mengembalikan data kepada peminta. Karimi memberi contoh bahwa jika Anda mencari film Fight Club di platform streaming, API mungkin mengembalikan informasi durasi film, trailer, aktor, dan metadata lainnya. Beberapa API bekerja sama untuk menyusun semua informasi ini, masing-masing mengambil jenis data tertentu. Demikian pula, jika Anda mencari Brad Pitt, sekumpulan API akan berinteraksi untuk menampilkan Fight Club serta film lain seperti Troy dan Seven. Beberapa API dirancang untuk membutuhkan bukti autentikasi sebelum mengembalikan hasil, tetapi jika sebuah sistem tidak diperiksa dengan cermat, API lain bisa secara buta mengembalikan data tanpa memerlukan otorisasi karena berasumsi bahwa hanya peminta yang terautentikasi yang akan mengirim kueri.
“Seringkali ada empat, lima, atau beberapa API yang menyimpan semua metadata ini, dan jika Anda tahu cara menelusurinya, Anda bisa membuka konten berbayar secara gratis,” kata Karimi. “Ini adalah model ‘keamanan melalui ketidakjelasan’ di mana mereka tidak menyangka ada yang bisa menghubungkan titik-titik antar-API secara manual. Namun, otomatisasi yang saya perkenalkan membantu menemukan celah otorisasi ini dengan cepat dalam skala besar.”
Karimi menekankan bahwa layanan streaming teratas umumnya sudah diamankan dan telah memperbaiki kesalahan konfigurasi API sejak lama atau menghindarinya sejak awal. Namun, ia menegaskan bahwa platform yang lebih utilitarian untuk streaming korporat atau acara langsung—termasuk kamera yang selalu aktif di arena olahraga atau tempat lain yang seharusnya hanya bisa diakses pada waktu tertentu—kemungkinan besar rentan dan mengekspos video yang seharusnya dilindungi.