SENSITIVE DATA EXPOSURE

Penulis: Edward Chandra­, Dita Simanjuntak, Wardi Fadillah

Pembimbing dan Editor: Nico Surantha, PhD.

 

Sensitive data merupakan informasi yang harus dilindungi dari penyerang, seperti password, alamat, social security, credit card, informasi bank, rekam kesehatan, dan lain sebagainya. Sedangkan pengertian data exposure adalah keadaan dimana data atau informasi tidak dilindungi dengan baik atau terekspose sehingga penyerang berkesempatan untuk mengekploitasi dan mencuri data.

Penyerangan dapat dikelompokkan menjadi 2 bagian, yaitu serangan internal dan serangan eksternal. Serangan internal terjadi ketika seorang atau sekelompok dalam sebuah organisasi mencoba untuk mengganggu atau mengekploitasi asset organisasi tersebut. Pada beberapa kasus, pegawai menggunakan resources, tools, dan skill untuk melaksanakan penyerangan pada komputer dan berpotensi untuk mencuri atau memanipulasi data/informasi. Sedangkan serangan eksternal terjadi saat attacker menemukan kerentangan pada jaringan untuk melakukan penyerangan.

Sensitive data exposure dapat dilakukan dengan beberapa mekanisme, yaitu SQL injection, melihat session cookie, mecuri key untuk melakukan dekripsi, dan lain sebagainya. Pada awalnya penyerang akan mencari target korban dan mengumpulkan data/informasi dari komputer atau server. Beberapa data/informasi dilindungi dengan cara enkripsi sehingga penyerang juga harus mencari key untuk dapat mengetahui data/informasi yang sebenarnya.

Untuk itu, perlu diketahui bagaimana pencegahan sensitive data exposure. Ada beberapa pencegahan yang dapat dilakukan, yaitu dengan melakukan enkripsi, menonaktifkan autocomplete, membersihkan cookies, dan menjaga kerahasiaan key.

  1. Enkripsi
  • Sangat disarankan untuk menggunakan algoritma terbaru karena kemungkinan sudah diketahui cara pemecahannya pada algoritma lama
  • Lakukan enksipsi selama tranport data
  • Seharusnya diterapkan pada right level
  1. Menonaktifkan Autocomplete

Autocomplete akan memungkinkan pengguna komputer berikutnya dapat mengetahui atau menebak username atau password, sehingga sangat diharapkan untuk menonaktifkan fitur autocomplete pada browser.

  1. Membersihkan Cookies
  • Attacker dapat mengetahui sensitive data dari session cookies, sehingga disarankan untuk selalu dibersihkan
  • Selalu melakukan clear cache pada halaman yang mengandung sensitive data, terkhusus apabila komputer tersebut digunakan oleh umum
  • Pastikan website sudah menggunakan SSL
  1. Menjaga kerahasiaan key
  • Jangan simpan kunci dekripsi pada database karena penyerang kemungkinan dapat membobol database saat melakukan penyerangan
  • Enkripsi data data menggunakan public key, namun pastikan untuk melakukan dekspsi menggunakan private key.

 

Penjelasan mengenai sensitive data exposure juga anda dapat lihat video di bawah ini

Nico Surantha