Lucky

Halaman profil Friendster

Friendster sebagai penyedia jasa layanan
jaringan sosial yang terbesar pun ternyata masih memiliki beberapa celah
keamanan. Beberapa celah keamanan tersebut bahkan dapat dieksplotasi oleh para
hacker melalui halaman profil milik korban mereka (serangan pasif), halaman
profil milik si hacker (serangan aktif), sistem testimonial yang ada pada
Friendster, feature video box, dan feature blog.

 Mungkin
sampai pada poin ini, sebagian dari pembaca akan mempertanyakan mengapa sebuah
halaman profil korban bisa dijadikan sarana penyerangan dan mengapa dikatakan
secara pasif?

 Kembali
kepada kasus publikasi data pribadi yang sudah kita bahas sebelumnya. Pada
dasarnya, melakukan publikasi data pribadi ataupun data diri di Internet
merupakan sebuah kesalahan yang cukup fatal bagi pengguna Internet. Hal ini
karena mungkin saja seorang hacker akan memanfaatkan informasi pribadi tersebut
(baik yang terkecil sekalipun) untuk mendapatkan akses ke dalam properti milik
sang korbannya – bisa berupa kartu kredit, e-mail, maupun hal lainnya.

 Walau
terkadang informasi yang disajikan dalam halaman profil seseorang di Friendster
tidak sangat penting, kerap kali gabungan informasi-informasi kecil tersebut
bisa membuat seorang hacker melakukan pencurian akses ke dalam properti milik
korban tersebut.

 

Information leaking

Langsung saja, salah satu halaman profil
Friendster yang penulis terakhir kunjungi.

 Dari
sana kita bisa melihat beberapa informasi seperti kota tempat tinggal, nama
sekolah, pekerjaan, siaran TV favorit, hobi, dan beberapa hal yang tak terlalu
penting lainnya. Namun, bukan berarti hal tersebut sepenuhnya tidak penting.
Percayakah Anda apabila informasi-informasi minim yang terdapat di dalam
halaman profil Calvin Limuel (percontohan) tersebut, bisa penulis manfaatkan
untuk memasuki e-mail yang ia miliki?

 Sebelum
memulai penyerangan, tentu kita harus mengetahui dulu segala sesuatu mengenai
musuh kita, siapa dan mengapa Calvin Limuel ini. Tanpa menggunakan alat bantu
atau website lain selain http://www.friendster.com, penulis menemukan bahwa http://gastrote.110mb.com adalah website pribadi milik Calvin
Limuel – informasi ini pun tertera pada halaman profil miliknya.

 Pada
halaman utama website tersebut, kita bisa melihat bahwa CalvinLimuel yang
merupakan pembuat sekaligus pemilik website tersebut memperlihatkan berbagai
informasi e-mail yang ia miliki.

 Dari
potongan informasi kecil tersebut kita bisa melihat bahwa e-mail utama yang
digunakan CalvinLimuel sebagai alat berkomunikasi dengan menggunakan e-mail
adalah calvinlimuel@gmail.com. Dilihat
dari alamatnya, tentu ini merupakan e-mail yang disediakan oleh Google, Gmail (www.gmail.com).

 Penulis
mencoba login dengan account Calvin di www.gmail.com dan melakukan sedikit percobaan password yang mungkin ia gunakan. Namun,
semuanya ternyata dinyatakan salah oleh Gmail. Setelah sedikit jenuh dengan
melakukan penebakan-penebakan password, perhatian penulis kemudian beralih pada
sistem “Forgot Password” yang selalu ada di setiap provider e-mail.

 Penulis
menekan hyperlink “I cannot access my
account” yang kemudian link tersebut membawa penulis langsung ke halaman
berikutnya.

 Pada
saat penulis memilih “I forgot my password”, ditampilkan halaman Secret
Question (pertanyaan rahasia) yang menanyakan angka favorit Calvin Limuel.

 Hal
pertama yang terbersit dalam pikiran penulis adalah beberapa hal yang berkaitan
dengan angka dan kerapkali dijadikan password, PIN, maupun jawaban dari pertanyaan
rahasia seperti tanggal lahir, bulan lahir, tanggal lahir orang tua, angka yang
dianggap angka keberuntungan dan berbagai angka lainnya. Disebabkan oleh
pertanyaan ini, penulis kembali disibukkan dengan usaha pencarian informasi di
dalam tumpukan data pribadi Calvin Limuel pada halaman profil Friendster
miliknya tersebut.

 Dari
beberapa angka yang mungkin saja dijadikan jawaban oleh Calvin Limuel, tentu
tanggal bulan dan tahun lahirnyalah yang paling memungkinkan untuk dijadikan
PIN, password, atau jawaban dari pertanyaan rahasia semacam ini. Oleh karena
itu penulis berusaha mencari tahu informasi tanggal lahir Calvin Limuel sebelum
mencari informasi angka lainnya. Usaha tersebut dihentikan saat penulis
menemukan halaman testimonial dari temannya atas ucapan ulang tahun si Calvin
Limuel.

 Saat
ini kita memiliki 2 buah pilihan tanggal ulang tahun, yakni 20 Desember atau 13
Desember. Untuk saat ini, tahun lahir belum kita ketahui. Namun, kita memiliki
kisaran usia Calvin Limuel yakni 17 tahun, dari foto dengan wajah seorang anak
kecil berusia 13 tahun sampai 15 tahun. Dari sana kita mempersempit tahun lahir
Calvin Limuel dari 1991 – 1995.

 Dari
beberapa informasi yang telah kita kumpulkan, kita telah mendapatkan beberapa
buah angka yang bisa dijadikan jawaban, hanya berdasarkan informasi minim dari
Friendster miliknya tersebut:

13 – Tanggal lahir CalvinLimuel

20 – Tanggal lahir CalvinLimuel (alternatif)

12 – Bulan lahir CalvinLimuel dalam bentuk
angka

1991, 1992, 1993, 1994, 1995 – Beberapa pilihan
tahun lahir CalvinLimuel.

 Kalaupun
ada beberapa angka lain yang mungkin digunakan sebagai jawaban adalah 4, 6, 8,
dan 9 (beserta segala kelipatannya dan gabungan seperti ‘666’) karena beberapa jenis angka tersebut sering
dianggap angka keberuntungan, angka sial, angka keren, dan lain sebagainya.

 Penulis
melakukan spekulasi pertama dengan mengisikan informasi tersebut dengan angka
tanggal kelahiran Calvin Limuel yang sekaligus sering dianggap angka sial,
yakni 13.

 Ternyata
berhasil! Masih banyak lagi yang bisa seorang hacker lakukan dengan menggunakan
informasi yang tertera secara pasif pada halaman profil Anda. Bayangkan saja
apabila Calvin Limuel menggunakan pertanyaan “First company I worked for” untuk
Secret Question e-mail-nya di Hotmail, tentu kita memiliki serentetan jawaban
untuk pertanyaan tersebut bukan?

 

Pencegahan

Memublikasikan informasi pribadi apa pun dan
dalam bentuk apapun di Internet merupakan sebuah tindakan yang tidak dapat
dibenarkan. Namun, kita tidak bisa menyalahkan Friendster hanya karena mereka
menyediakan tempat bagi para penggunanya untuk berkomunikasi dan berinteraksi
dengan lebih nyaman. Kesadaran akan pentingnya arti keamanan informasi dan data
pribadi sudah sewajibnya dimiliki setiap pengguna jasa Internet itu sendiri.

 Untuk
dapat menghindari diri dari jenis serangan seperti itu, kita bisa melakukan
beberapa cara sebagai berikut:

 

Usahakan tidak menuliskan informasi diri secara
sangat terperinci di tempat umum atau yang bisa diakses publik seperti halaman
profil Friendster.

 

Kalaupun Anda harus menuliskan data tersebut,
buatlah agar beberapa data (tidak perlu semuanya) palsu atau tidak tepat –
mungkin seperti usia atau pekerjaan. Namun, jangan mengisi asal untuk formulir
pendaftaran yang serius.

 

Hindari menuliskan nama orang tua terutama ibu
– mengingat banyak perusahaan kartu kredit yang masih menggunakan nama Ibu
sebagai Secret Question.

 

Hindari penggunaan jawaban yang sangat tepat
untuk setiap Secret Question Anda, misalnya pertanyaan “First company I worked
for”, jawablah dengan nama peliharaan Anda. Namun demikian, ingatlah jawaban
dari pertanyaan tersebut.

 

Melakukan penghapusan atau manipulasi data ulang
tahun seperti yang ada pada contoh halaman Calvin Limuel. Ricky.