Pencurian Password Aplikasi Zoom

Zoom? Siapa sih yang tidak tahu aplikasi ini. Apalagi jika kamu dari kalangan akademisi. Yup, terus terang saya sendiri baru mengenal Zoom ini sekitar Agustus 2019. Telat ya 😌
Dan tiba-tiba langsung melejit seiring adanya wabah Pandemi Covid-19 ini.

Beberapa waktu lalu muncul kabar tentang bobolnya 530 ribu akun Zoom. Kalau menurutku itu sebenarnya bukan karena Zoom security-nya lemah atau Zoom memperjual belikan informasi pengguna tapi karena kesalahan user sendiri.

Sebenarnya sudah lama teknik2 seperti ini dipakai oleh para hacker. Salah satunya adalah dengan menyimpan password (Password Stuffing).
Dulu waktu jaman Friendster saya pernah kena jebakan. Saat membuka halaman profil seseorang lalu tiba2 di-direct ke halaman login friendster. Yah waktu itu saya tidak aware. Saya pikir karena koneksi saya jelek, session habis, kok minta login lagi.
Ternyata engga’ seperti itu. Jadi ada script yang dimasukkan ke dalam CSS profil yg membuat halaman itu sehingga beralih ke halaman lain.

Jadi itu namanya Teknik Phising, dimana dibuat halaman login yang sama persis dengan aslinya. Harusnya kayak gini mengatasinya gampang, lihat saja alamat URL-nya. Kalau bukan webnya ya udah ditutup saja jangan diisi apalagi di-submit.

Lalu keesokan harinya ada teman kuliah saya ngasih tahu, ya saya kaget tho. Lalu saya ganti password-nya. Dan username dan password saya tersimpan di-list para hacker Jogja saat itu namanya Yogya-Free. Kayaknya itu komunitas buat share software bajakan sih awalnya (unsure). List ini menyebar dan masuk ke blog2 orang. Jadi ketika saya search password Friendster lalu saya cari di-list ketemu deh e-mail saya. Bahkan sampai sekarang masih ada nih blog yang nyimpen 😑
Itu baru list yang ketahuan. Di komunitas para hacker mereka punya database buat konsumsi mereka sendiri.

Teknik Password Stuffing sendiri lebih ampuh daripada Teknik Brute Force Attack. Karena sekarang sudah ada Teknologi Captcha jadi akan mempersulit mesin yang mencoba2 login tersebut.

Tentang apa itu Password Stuffing dan Bobolnya akun Zoom bisa dibaca tulisan dari salah satu dosen berikut ini:
http://fit.uii.ac.id/blog/2020/04/20/password-stuffing-dan-aplikasi-zoom/

Pak Yudi itu ngajar di Magister Informatika UII spesialisasinya Data Forensik. Penampilan Beliau jenggotan pake celana congklang. Sstt.. anaknya 8 Masya Allah 😱

Kalau tentang penyusup di Rapat Virtual Zoom Wantiknas dulu itu ada tulisan juga dari dosen lainnya yakni Pak Andri (teman kuliahnya Om Mochammad Arif Bijaksana, Ph.D. di Aussie, sekantor sama Mas Tafta Zani). Berikut tautan artikelnya:

Dan ada kritik dari tulisan Beliau itu,
1. Zoom itu sudah bermasalah sejak awal tahun 2019, ketika para developer Mac menemukan bug yang memungkinkan pencurian data dan kontrol Webcam. Dan bug tersebut sampai saat ini tidak mampu ditutup oleh Zoom.

2. Jitsi nggak aman? Itu salah.
Jitsi itu Open Source, semua script end to end encription video, pembahasannya di Forum Jitsi & Github Jitsi:
https://www.jetorbit.com/blog/apa-itu-jitsi-meet-dan-apa-fungsinya

Justru karena Jitsi itu open source maka aman, karena kode etik hacker salah satunya: tidak boleh ngobok2 software open source.
Itu juga jawaban dari pertanyaan: Mengapa keluarga OS Linux sampai saat ini aman tenteram?

Ada yang sudah pakai Jitsi? Tapi sayang tidak ada versi Windowsnya yah 😌

Intinya tidak ada bikinan manusia yang sempurna.
Kita hanya bisa berusaha supaya tidak kebobolan. Sama kayak kunci rumah meski elektronik pakai RFID pun tetap saja bisa dibobol.

Wallahu a’lam

~ by Rahmat Miftahul Habib on April 24, 2020.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

 
%d bloggers like this: