Para peneliti dari Salt Labs, bagian penelitian dari perusahaan keamanan API Salt Security, menemukan dan mempublikasikan rincian serangan cross-site scripting (XSS) yang bisa berdampak pada jutaan situs web di seluruh dunia. Kerentanan ini bukan berasal dari produk tertentu yang bisa diperbaiki secara langsung, melainkan dari kesalahan implementasi kode web dan aplikasi populer yang menggunakan OAuth untuk login sosial.
Apa Itu OAuth dan XSS?
OAuth adalah sebuah standar yang digunakan untuk otentikasi login sosial, seperti “Masuk dengan Google” atau “Masuk dengan Facebook”. XSS adalah jenis serangan di mana penyerang bisa memasukkan skrip berbahaya ke dalam halaman web yang dilihat oleh pengguna lain, memungkinkan mereka mencuri data atau mengendalikan akun pengguna.
Masalahnya
Salt Labs menunjukkan bahwa banyak pengembang web menganggap masalah XSS sudah selesai karena serangkaian perbaikan yang diterapkan selama bertahun-tahun. Namun, dengan semakin populernya penggunaan OAuth untuk login sosial, risiko baru muncul. Penggunaan OAuth yang tidak hati-hati bisa membuka celah bagi serangan XSS, memungkinkan penyerang melewati perlindungan yang ada dan mengambil alih akun pengguna.
Contoh Kasus
Salt Labs memfokuskan penelitiannya pada dua perusahaan besar, HotJar dan Business Insider, untuk menunjukkan potensi masalah ini. HotJar, misalnya, merekam banyak data sesi pengguna, termasuk klik dan input keyboard, yang bisa berisi informasi pribadi dan sensitif. Jika implementasi OAuth di HotJar tidak aman, maka data pengguna bisa terancam.
Proses Serangan
Berikut adalah bagaimana serangan ini bisa terjadi:
- Pengguna memilih untuk “Masuk dengan Google” di situs web seperti HotJar.
- Google mengalihkan pengguna kembali ke HotJar dengan sebuah URL yang mengandung kode rahasia.
- Penyerang bisa memanipulasi proses ini dan mendapatkan kode rahasia tersebut.
- Dengan kode rahasia ini, penyerang bisa mengambil alih akun pengguna.
Mengapa Ini Masalah Besar?
Salt Labs menemukan bahwa jika dua perusahaan besar seperti HotJar dan Business Insider rentan terhadap serangan ini, kemungkinan besar banyak situs web lain dengan sumber daya yang lebih sedikit juga rentan. Bahkan situs-situs terkenal seperti Booking.com, Grammarly, dan OpenAI disebut memiliki masalah serupa.
Apa yang Harus Dilakukan?
Meskipun HotJar dengan cepat memperbaiki masalah ini setelah diberitahu oleh Salt Labs, banyak situs web lain mungkin masih rentan. Salt Labs telah merilis pemindai gratis yang dapat digunakan oleh pemilik situs web untuk memeriksa apakah mereka rentan terhadap serangan XSS terkait OAuth.
Kesimpulan
Kerentanan ini menunjukkan betapa pentingnya keamanan dalam implementasi OAuth. Banyak situs web yang mungkin merasa aman dari serangan XSS, padahal masih memiliki celah yang bisa dimanfaatkan oleh penyerang. Dengan menggunakan pemindai gratis dari Salt Labs, situs web bisa lebih proaktif dalam melindungi data pengguna dan mencegah serangan di masa depan.
