Dalam dunia keamanan siber, peristiwa ini disebut IDOR. Yuk kita kenalan lebih dalam dengan IDOR agar jangan sampai kejadian data pribadimu kena curi.
Melansir unggahan di akun Instagram @bkngoidofficial, Tim BKN-CSIRT (Computer Security Incident Response Team) menjelaskan IDOR atau Insecure Direct Object References adalah jenis kerentanan yang sering luput dari perhatian pengembang aplikasi, namun memiliki dampak fatal.
Secara sederhana, IDOR terjadi ketika sebuah aplikasi atau situs web gagal memverifikasi apakah pengguna memiliki hak untuk melihat data tertentu. Ini dapat terjadi karena aplikasi hanya mengecek 'siapa Anda' (autentikasi), tapi lupa mengecek 'apa hak Anda' (otorisasi).
Misalnya, Sobat Medcom mengakses profil diri sendiri di sebuah situs dengan URL: https://contoh.com/user?id=433. Iseng-iseng, Anda mengubah angka di belakang menjadi 442. Jika situs tersebut memiliki celah IDOR, maka data milik pengguna dengan nomor ID 442 akan langsung terpampang di layar tanpa meminta password lagi.
Risiko IDOR
Jangan anggap remeh celah 'ganti angka' ini. Berikut sejumlah risiko mengerikan jika IDOR dimanfaatkan oleh peretas:1. Kebocoran data sensitif
Data rahasia pengguna lain bisa diakses bebas.2. Manipulasi data
Penyerang bisa mengubah, menghapus, atau memalsukan data orang lain.3. Kerugian finansial
Dampak ekonomi langsung akibat penipuan atau pencurian data.4. Pintu masuk serangan lanjutan
IDOR sering menjadi pintu gerbang bagi peretas untuk masuk lebih dalam ke sistem jaringan.Pelanggaran Regulasi: Melanggar standar keamanan internasional ISO/IEC 27001:2022 tentang pembatasan akses informasi.
Langkah wajib bagi developer
Khusus bagi para pengembang aplikasi (developer), berikut enam jurus menangkal IDOR agar aplikasi yang dibangun aman:1. Validasi akses di backend
Jangan hanya mengandalkan tampilan depan. Pastikan server selalu mengecek hak akses setiap kali ada permintaan data.2. Hindari ID yang mudah ditebak
Tinggalkan penggunaan ID berurutan (seperti 1, 2, 3). Gunakanlah UUID, hash, atau token acak yang rumit.3. Minimalkan data di URL
Jangan tampilkan ID sensitif secara telanjang di alamat situs.4. Akses kontrol ketat
Pastikan mekanisme otorisasi berjalan ketat sesuai kebutuhan bisnis.5. Audit and logging
Catat dan pantau setiap aktivitas akses data yang mencurigakan.6. Tes keamanan rutin
Lakukan pengujian berkala untuk menambal celah sebelum ditemukan peretas.Nah, itulah penjelasan soal IDOR. Semoga bermanfaat yaa. (Sultan Rafly Dharmawan)
Cek Berita dan Artikel yang lain di
Google News
