Sebenernya ini berita lama, tapi baru baca sekarang. Ceritanya bulan Maret kemaren ada seorang teman yang iseng untuk jajal keamanan situs MPR di sini. Karena situs itu dibangun menggunakan CMS (Content Management System) tertentu. Adapun cara yang dia gunakan juga sangat sederhana, tidak menggunakan tools tertentu untuk mengakali situs MPR ini, cuma dengan modal nekat dan banyak waktu luang (hooyy.. kerjain tuh TA jangan security breaching melulu di mana-mana hehehe). Caranya adalah dengan social engineering terhadap user 'admin' dan menebak secara heuristik password dari user tersebut. Alhasil berhasil juga ditembus, tapi kesalahan ini ga langsung diantisipasi oleh penanggung jawab situs tersebut, sehingga terkesan bahwa sang admin kurang bertanggungjawab atas tugas dan pekerjaannya.
Maklum, gw sendiri dan pembuat sensasi yang iseng tersebut pernah juga menjadi administrator jaringan di salah satu departemen di kampus, dan kami cukup sering juga dikomplain oleh user karena layanan yang kurang maksimal :p Tapi sayang juga teman saya ini malah tidak menghubungi terlebih dahulu administrator situs bermasalah tersebut, namun langsung memberitakan kepada wartawan media dan lebih parahnya lagi, pada versi awal berita tersebut turun, alamat login, username, dan password-nya ditampilkan secara utuh tanpa diedit (mungkin karena harus mengejar setoran berita). Alhasil situs tersebut sempat diakses banyak orang dan diubah tampilannya sebelum admin tersebut sempat memperbaiki kesalahannya.
Weleh..weleh..masalah password aja kok gampang ditebak, padahal statusnya udah admin web... apa perlu dia baca tips-tips membuat password yang cukup baik?
No comments:
Post a Comment