REPUBLIKA.CO.ID, JAKARTA -- Kegagalan organisasi mengelola server yang mereka sewa dari penyedia layanan cloud dengan benar dapat memungkinkan penyerang membobol data pribadi. Hal ini diungkap oleh penelitian mahasiswa PhD di bidang Ilmu dan Teknik Komputer, Penn State University Eric Pauley dan rekannya.
Komputasi awan (cloud computing) memungkinkan bisnis menyewa server dengan cara yang sama seperti mereka menyewakan ruang kantor. Lebih mudah bagi perusahaan untuk membangun dan memelihara aplikasi seluler dan situs web ketika mereka tidak perlu khawatir tentang memiliki dan mengelola server. Namun, cara layanan hosting ini menimbulkan masalah keamanan.
Setiap server cloud memiliki alamat IP unik yang memungkinkan pengguna terhubung dan mengirim data. Setelah organisasi tidak lagi membutuhkan alamat ini, alamat tersebut diberikan kepada pelanggan lain dari penyedia layanan, mungkin dengan maksud jahat. Alamat IP berpindah tangan sesering setiap 30 menit saat organisasi mengubah layanan yang mereka gunakan.
Dilansir dari Japan Today, Kamis (14/4/2022), ketika organisasi berhenti menggunakan server cloud tetapi gagal menghapus referensi ke alamat IP dari sistem mereka, pengguna dapat terus mengirim data ke alamat ini, mengira mereka berbicara dengan layanan asli. Karena mereka mempercayai layanan yang sebelumnya menggunakan alamat tersebut, perangkat pengguna secara otomatis mengirim informasi sensitif seperti lokasi GPS, data keuangan, dan riwayat penelusuran.
Penyerang dapat memanfaatkan ini dengan “berada” di cloud: mengklaim alamat IP untuk mencoba menerima lalu lintas yang ditujukan organisasi lain. Pergantian alamat IP yang cepat menyisakan sedikit waktu untuk mengidentifikasi dan memperbaiki masalah sebelum penyerang mulai menerima data. Setelah penyerang mengontrol alamat, mereka dapat terus menerima data hingga organisasi menemukan dan memperbaiki masalah tersebut.
“Studi kami terhadap sebagian kecil alamat IP cloud menemukan ribuan bisnis yang berpotensi membocorkan data pengguna, termasuk data dari aplikasi seluler dan pelacak iklan. Aplikasi ini awalnya dimaksudkan untuk berbagi data pribadi dengan bisnis dan pengiklan tetapi malah membocorkan data ke siapa pun yang mengontrol alamat IP. Siapa pun yang memiliki akun cloud dapat mengumpulkan data yang sama dari organisasi yang rentan,” tulis Pauley di Japan Today.