Hotjar dan Business Insider Kena Hack!



Hotjar dan Business Insider Kena Hack - photo source: infosecurity-magazine - pibitek.biz - Microsoft

photo source: infosecurity-magazine


336-280
TL;DR
  • Hotjar terkena kelemahan serius, memungkinkan hacker mengakses data rahasia.
  • Hacker memanfaatkan kelemahan XSS dan OAuth untuk mengakses akun Hotjar.
  • Kelemahan ini juga terjadi di platform lain, membuat hacker leluasa mengakses data.

pibitek.biz -Awas! Dua platform populer, Hotjar dan Business Insider, ketahuan punya celah keamanan serius. Tim peneliti dari Salt Labs menemukan kelemahan yang bisa bikin akun pengguna dibajak. Hotjar, yang sering dipakai bareng Google Analytics, ternyata menyimpan banyak data sensitif, kayak aktivitas pengguna di web, data pribadi, chat, bahkan kata sandi. Bayangin, Hotjar dipakai di jutaan situs, termasuk merek gede kayak Adobe, Microsoft, T-Mobile, dan Nintendo. Kelemahan ini bisa bikin hacker leluasa ngakses data super rahasia, dan ngerugiin jutaan orang dan perusahaan di seluruh dunia.

Ini bukan cuma masalah Hotjar dan Business Insider. Kelemahan ini bisa muncul di platform lain yang mirip. Tim peneliti menemukan bahwa kelemahan ini muncul karena kombinasi dua faktor, yaitu XSS (cross-site scripting) dan OAuth. Keduanya udah lama ada, tapi makin berkembangnya teknologi, malah muncul masalah baru. XSS, yang udah ada sejak awal internet, sering dianggap sepele. Padahal, kombinasi XSS dan OAuth yang banyak dipakai di layanan web, bisa jadi pintu masuk bagi hacker. Bayangin, hampir semua situs yang punya fitur login, nggak sadar pakai OAuth.

Tim peneliti berhasil ngambil alih akun Hotjar dan Business Insider dengan memanfaatkan kelemahan ini. Hacker bisa ngirim link jahat lewat email, SMS, atau media sosial. Korban yang ketipu klik link, langsung masuk jebakan, dan hacker bisa ngelakuin apa aja, termasuk ngakses data rahasia. Ini bahaya banget, karena bisa terjadi di banyak platform yang ngegunain OAuth. Gara-gara kasus ini, banyak pihak yang sadar, bahwa teknologi baru, perlu dipikirkan secara matang soal keamanannya.

Salah satu yang penting, harus dipikirkan kemungkinan hacker memanfaatkan celah. "Penting banget untuk memperhatikan keamanan dari awal, saat mendesain sebuah teknologi", kata Yaniv Balmas, wakil kepala riset di Salt Security. "Kalau dirancang dengan benar dan memperhitungkan semua kemungkinan, seharusnya hacker nggak bisa memanfaatkan celah ini". Kasus Hotjar dan Business Insider ini, jadi bukti bahwa keamanan di internet, nggak bisa dianggap remeh. Banyak platform lain yang kemungkinan besar juga punya celah yang sama.