Sarahah
Daftar Isi:
Menurut apa yang dapat dibaca di halaman The Next Web, seorang peneliti Inggris telah melaporkan banyak kelemahan keamanan dalam aplikasi Sarahah, yang sangat populer di kalangan remaja. Sarahah dalam bahasa Arab berarti kejujuran. Dan meskipun banyak yang menggunakan aplikasi tersebut untuk melecehkan atau mempraktekkan bullying, tujuan dari aplikasi tersebut justru sebaliknya: untuk memuji sesama manusia. Masalah keamanan yang mereka rujuk terbatas secara eksklusif pada versi desktop aplikasi Sarahah, membiarkan versi selulernya gratis untuk saat ini.
Banyak bug mengganggu versi web Sarahah
Scott Helme, seorang peneliti, menemukan bahwa perlindungan virus CSRF di situs web Sarahah sangat mudah dibobol. Virus CSRF sangat berbahaya dan berbahaya, mampu mengontrol akun kami, melakukan operasi yang tidak terkait dengan penggunaan kami. Penyerang, Helme menjelaskan, dapat menggunakan akun kami untuk mem-bookmark akun lain yang tidak dikenal, untuk mendapatkan keuntungan finansial.
Dia juga menunjukkan bahwa Agustus lalu peneliti lain bernama Rony Das juga menemukan lebih banyak celah keamanan. Secara khusus, ia menemukan kerentanan XSS. Singkatnya: seorang peretas dapat memasukkan kode berbahaya ke dalam HTML laman Sarahah, yang dapat mencakup virus dan spyware.
Masalah lainnya: Helme mengidentifikasi kesalahan serius di header keamanan, yang mencegah penggunaan protokol keamanan HSTS. Ini adalah alat yang semakin sering digunakan untuk melawan pembajakan cookie dan kemungkinan serangan yang memanfaatkan versi lama web. Tugas Helme adalah mencoba membuat Sarahah melindungi penggunanya dengan baik. Seperti yang dinyatakan web, pesaing besarnya, Ask.fm, adalah situs yang penuh dengan kesalahan dan kelemahan keamanan. Jadi, apa yang lebih baik dari Sarahah untuk belajar dari kegagalan yang satu ini dan menjadi halaman web yang aman.
Pelecehan dan pembongkaran: bahaya Sarahah di web
Mengenai filter keamanan dan anti-pelecehan, peneliti juga ingin mengatakan sesuatu. Dia memperhatikan bahwa, misalnya, dalam kalimat 'I would kill for a cheeseburger', aplikasi akan menghapus postingan tersebut, karena menemukan kata negatif, 'Kill'.Namun, jika koma diletakkan setelah 'Would kill', aplikasi akan mengabaikannya. Ya, tata bahasanya tidak benar, tetapi pesannya tetap akan sampai.
Dan lebih banyak kegagalan: Halaman Sarahah tidak membatasi kecepatan penggunanya menulis komentar, sehingga siapa pun dapat mengalami pemboman pelecehan, dengan satu baris skrip sederhana. Sarahah juga tidak memiliki fungsi hapus massal, jadi jika kita korban bombardir komentar, kita harus menghapusnya satu per satu.
Selain itu, untuk mengatur ulang kata sandi di Sarahah, situs web hanya menanyakan alamat email yang terkait dengan akun kepada pengguna. Setelah diminta, sistem menghasilkan yang baru dan mengirimkannya secara otomatis ke pengguna. Dalam pengertian ini, seorang peretas dapat mengubah satu baris skrip sehingga kata sandi akan berubah setiap saat, sehingga pemilik akun tidak dapat mengaksesnya.Skrip yang sama ini juga dapat digunakan untuk membuat akses ke akun tidak berhasil, meskipun kata sandinya valid. Sarahah mengunci semua akun pengguna yang memiliki lebih dari 10 upaya masuk.
Peneliti kemudian menghubungi Sarahah untuk memberitahukan semua ini longsoran pelanggaran keamanan dalam versi webnya. Investigasi yang memakan waktu berbulan-bulan dan akhirnya dapat membuat aplikasi Sarahah menjadi komunitas yang bebas dari pelecehan dan serangan cyber terencana.
