Ribuan situs web, termasuk milik bank-bank besar dan penyedia layanan kesehatan, secara tidak sengaja telah membocorkan kredensial keamanan sensitif, sehingga berpotensi memberikan akses tidak sah ke sistem penting. Sebuah studi baru mengungkapkan bahwa kunci pribadi RSA dan kredensial API lainnya tetap dapat diakses publik selama berbulan-bulan, bahkan bertahun-tahun, sehingga menimbulkan risiko signifikan terhadap infrastruktur digital.
Ruang Lingkup Masalah
Para peneliti di Universitas Stanford menganalisis 10 juta halaman web dan mengidentifikasi 1.748 kredensial aktif dari 14 penyedia layanan utama – termasuk Amazon Web Services, Stripe, GitHub, dan OpenAI – yang tersebar di hampir 10.000 situs web. Kredensial ini bertindak sebagai token akses untuk platform cloud, pemroses pembayaran, dan layanan pesan, yang memungkinkan penyerang menyamar sebagai server, mendekripsi komunikasi, atau merebut kendali administratif.
Masalah ini bukan merupakan kesalahan langsung dari penyedia layanan itu sendiri, namun berasal dari praktik keamanan yang buruk oleh pengembang perangkat lunak dan operator situs web. Para peneliti mengidentifikasi entitas yang terkena dampak termasuk “lembaga keuangan global yang penting secara sistematis”, “pengembang firmware”, dan “platform hosting utama”.
Bagaimana Kredensial Dibocorkan
Mayoritas (84%) kredensial yang terekspos ditemukan dalam lingkungan JavaScript, kemungkinan besar disebabkan oleh cara pengembang menggabungkan kode. 16% lainnya berasal dari sumber daya pihak ketiga yang dikonfigurasi dengan buruk, seperti plugin atau skrip yang rentan.
“Tidak satu pun dari pengembang ini yang bermaksud merasa tidak aman; banyak dari mereka bahkan tidak melakukan kesalahan sejak awal. Kunci API malah dipublikasikan karena kebiasaan pemrograman yang terkait dengan cara bahasa tersebut bekerja dan berjalan di server.” – Katie Paxton-Fear, Universitas Metropolitan Manchester.
Hal ini menyoroti kerentanan sistemik di mana bahkan praktik pengembangan yang aman pun dapat secara tidak sengaja menyebabkan paparan karena kebiasaan pemrograman yang mendasarinya.
Respon dan Mitigasi
Para peneliti memberi tahu organisasi yang terkena dampak, dan kira-kira setengahnya menghapus kunci yang terbuka dalam waktu dua minggu. Namun, beberapa entitas tidak memberikan tanggapan, sehingga kredensial dapat diakses publik selama rata-rata 12 bulan – dan beberapa masih online hingga lima tahun.
Mengatasi masalah ini memerlukan pendekatan multi-sisi: pengembang harus mengkonfigurasi lingkungan dengan hati-hati, pembuat alat harus merancang perangkat lunak untuk menyembunyikan kunci rahasia secara default, dan platform hosting harus secara aktif memindai dan menonaktifkan kredensial yang bocor.
Sifat kerentanan ini yang meluas menunjukkan kelemahan kritis dalam pengembangan perangkat lunak modern. Kunci API, jika dikonfigurasi secara salah, dapat memungkinkan penyerang bertindak sebagai pengguna resmi dengan konsekuensi yang sangat buruk. Masalahnya bukan hanya teknis; namun juga tentang kesadaran dan tanggung jawab bersama di seluruh ekosistem digital.
