Jika kamu tahu di mana mencari, banyak rahasia dapat ditemukan secara online. Sejak jatuhnya tahun 2021, peneliti keamanan independen Bill Demirkapi telah membangun cara untuk menyusup ke sumber data besar, yang sering diabaikan oleh peneliti, untuk menemukan banyak masalah keamanan. Ini termasuk secara otomatis menemukan rahasia pengembang—seperti sandi, kunci API, dan token otentikasi—yang bisa memberikan akses kepada peretas ke sistem perusahaan dan kemampuan untuk mencuri data.
Hari ini, di konferensi keamanan Defcon di Las Vegas, Demirkapi mengungkapkan hasil dari pekerjaan ini, mendetail trove besar rahasia bocor dan kerentanan situs web yang lebih luas. Di antara setidaknya 15.000 rahasia pengembang yang tertanam dalam perangkat lunak, ia menemukan ratusan detail username dan password terkait dengan Mahkamah Agung Nebraska dan sistem IT-nya; detail yang diperlukan untuk mengakses saluran Slack Universitas Stanford; dan lebih dari seribu kunci API milik pelanggan OpenAI.
Sebuah produsen smartphone utama, pelanggan perusahaan fintech, dan perusahaan keamanan siber bernilai miliaran dolar termasuk di antara ribuan organisasi yang tanpa sengaja mengungkapkan rahasia. Sebagai bagian dari upayanya untuk menghentikan gelombang, Demirkapi menyusun cara untuk secara otomatis mendapatkan detail dicabut, membuat mereka tidak berguna bagi peretas.
Dalam strand kedua dari penelitian tersebut, Demirkapi juga memindai sumber data untuk menemukan 66.000 situs web dengan masalah subdomain tergantung, membuat mereka rentan terhadap berbagai serangan termasuk perampokan. Beberapa situs web terbesar di dunia, termasuk domain pengembangan yang dimiliki oleh The New York Times, memiliki kelemahan tersebut.
Meskipun dua masalah keamanan yang dia teliti sudah dikenal oleh para peneliti, Demirkapi mengatakan bahwa beralih ke kumpulan data yang tidak konvensional, yang biasanya ditujukan untuk tujuan lain, memungkinkan ribuan masalah diidentifikasi secara massal dan, jika diperluas, menawarkan potensi untuk membantu melindungi web secara luas. “Tujuannya adalah untuk menemukan cara untuk menemukan kelas kerentanan trivial secara massal,” kata Demirkapi kepada WIRED. “Saya pikir ada celah untuk solusi kreatif.”
Rahasia Tercecer; Situs Web Rentan
Relatif mudah bagi pengembang untuk secara tidak sengaja menyertakan rahasia perusahaan mereka dalam perangkat lunak atau kode. Alon Schindel, wakil presiden AI dan penelitian ancaman di perusahaan keamanan cloud Wiz, mengatakan ada berbagai rahasia yang bisa secara tidak sengaja tertanam, atau terungkap, sepanjang jalur pengembangan perangkat lunak. Ini bisa termasuk sandi, kunci enkripsi, token akses API, rahasia penyedia cloud, dan sertifikat TLS.
“Risiko paling akut dari meninggalkan rahasia tertanam adalah bahwa jika kredensial otentikasi digital dan rahasia terungkap, mereka dapat memberikan akses tidak sah kepada penyerang ke basis kode perusahaan, database, dan infrastruktur digital sensitif lainnya,” kata Schindel.
Risikonya tinggi: Rahasia yang terungkap bisa mengakibatkan pelanggaran data, peretas meretas jaringan, dan serangan rantai pasokan, tambah Schindel. Penelitian sebelumnya pada tahun 2019 menemukan ribuan rahasia yang bocor setiap hari di GitHub. Dan meskipun berbagai alat pemindaian rahasia ada, ini sebagian besar difokuskan pada target tertentu dan bukan web secara luas, kata Demirkapi.
Selama penelitiannya, Demirkapi, yang pertama kali dikenal karena eksplotasi peretasan sekolahnya lima tahun yang lalu, mencari kunci rahasia ini dalam skala besar—daripada memilih perusahaan dan mencari secara khusus untuk rahasianya. Untuk melakukannya, dia beralih ke VirusTotal, situs web yang dimiliki Google, yang memungkinkan pengembang mengunggah file—seperti aplikasi—dan memindainya untuk potensi malware.