NEWS : Gawat, Peretas Dapat Mengambil Alih Akun SoundCloud

Gawat, Peretas Dapat Mengambil Alih Akun SoundCloud

Gawat, Peretas Dapat Mengambil Alih Akun SoundCloud
Ilustrasi | Foto: Electronic Groove
Eman Sulaeman Kamis, 13 Februari 2020 - 22:00 WIB

Cyberthreat.id-  Peneliti Checkmarx Security menemukan kerentanan yang terdapat pada platform musik online, SoundCloud.

Peneliti menemukan celah keamanan melalui Application Programming Interface (API) yang dapat mengarah pada penolakan layanan ( Disk Operating System/DoS) atau pengambilalihan akun melalui pengisian kredensial.

Paulo Silva, dari Checkmarx Security Research mengatakan, terdapat tiga kelompok kerentanan keamanan yang berbeda ditemukan di platform ini, yaitu, masalah otentikasi yang dapat menyebabkan pengambilalihan akun, bug pembatas laju yang dapat menyebabkan DoS, dan validasi input yang tidak tepat.

Dia menambahkan, masalah autentikasi yang rusak karen tidak memiliki sejumlah upaya login sebelum mengunci seseorang dari akun. Hal itu   membuka pintu bagi serangan brutal tak terbatas dari penjahat dunia maya yang mencoba menebak kata sandi.

"Titik akhir, titik  masuk, dan  kata sandi api-v2.soundcloud.com tidak menerapkan penguncian akun yang tepat berdasarkan pada upaya otentikasi yang gagal," kata Silva, seperti dikutip dari ThreatPost, Rabu, (13 Februari 2020).

“Ini semata-mata bergantung pada pembatasan tingkat yang dapat dihindari dengan menggunakan beberapa kombinasi use_agent, device_id dan signature,” tambah Silva.

Silva menjelaskan, hal itu berarti bahwa pengisian kredensial, proses verifikasi otomatis yang melanggar pasangan nama pengguna dan kata sandi bekerja tidak hanya untuk layanan dari mana mereka berasal, tetapi juga layanan lain.

Selain itu, Silva juga menemukan kelemahan enumerasi pengguna terkait yang dapat digunakan untuk memverifikasi ID akun pengguna yang valid yang membuatnya lebih mudah untuk meretas akun.

Penyerang dapat mengeksploitasi ini untuk menebak nama akun dan kemudian menyelidiki apakah mereka benar-benar ada atau tidak.

“Baik titik akhir atau titik masuk,  pengidentifikasi,  pengguna dan  kata sandi reset dari api-v2.soundcloud.com dapat digunakan untuk menghitung akun pengguna. Dalam kedua kasus, titik akhir memberikan respons yang berbeda tergantung pada apakah pengidentifikasi akun pengguna yang diminta ada atau tidak,” tambah Silva.

Sementara itu, pihak SoundCloud mengungkapkan akan segera memperbaiki masalah tersebut.

“Di SoundCloud, keamanan akun pengguna sangat penting bagi kami. Kami selalu mencari cara untuk meningkatkan keamanan platform kami untuk pengguna kami. Kami menghargai upaya Checkmarx untuk mendiskusikan temuan mereka,” ungkap pihak SoundCloud.[]

 

 


Standardisasi dan Validasi Teknologi