REPUBLIKA.CO.ID, JAKARTA -- Keamanan data bagi sebuah perusahaan teknologi merupakan hal yang sangat penting. Bayangkan jika semua data bocor karena diretas, tentunya akan merugikan perusahaan tersebut.
Head of Engineering Tokopedia David Irwan ada enam ancaman yang perlu diperhatikan oleh para developer. Pertama adalah meniru identitas seseorang untuk mendapatkan data yang bersifat rahasia (spoofing). Terkadang orang-orang kurang menjaga on time password (OTP) dan karena hal itu juga seseorang ditiru oleh orang lain.
“Mungkin pernah dengar cerita mereka menerima telepon dari seseorang yang berpura-pura jadi representatif dari bank yang mereka pakai, dan ujung-ujungnya mereka meminta pay account number, kartu kredit dan juga OTP yang akhirnya kita juga dengan senang hati memberikannya," ucap dia, belum lama ini.
Kedua, perubahan daya yang dilakukan oleh seseorang yang seharusnya tidak punya akses (tampering). Contoh mudahnya di kehidupan sehari-hari adalah seseorang ingin mengirim surat ke temannya dengan memakai jasa kurir.
Tetapi dalam perjalanan, kurir tersebut membuka surat dan menggantinya. Akhirnya, surat yang sampai sudah berbeda dengan surat yang dikirimkan.
Ketiga, repudiaton. David mengatakan tidak banyak orang yang tahu bentuk serangan ini. Serangan ini terjadi ketika para peretas berhasil memasuki sistem di suatu perusahaan dan mereka menghapus data untuk menghilangkan jejaknya.
Keempat, information disclosure. Ancaman ini berbentuk tindakan pencurian rahasia, kemudian data tersebut dibaca dan disebarkan ke publik.
Kelima, denial of service (DoS). David menyebutkan para peretas suka menggunakan bot untuk mengakses server dan akhirnya memenuhi jalur lintasnya. Akhirnya, pelanggan tidak bisa mendapatkan akses ke aplikasi.
Elevation of previlege menjadi ancaman keenam yang harus diperhatian. Ini merupakan kejadian ketika seseorang menaikkan aksesnya untuk melakukan sesuatu hal yang tidak diperbolehkan ataupun mengakses sesuatu data.
Yang dilakukan Tokopedia
Ada beberapa hal yang dilakukan oleh Tokopedia setelah mengenal threat yang menjadi acuan. Di fase pertama pengujian keamanan, ada repository ownership file.
Ini adalah file berisi informasi yang berguna sehubungan dengan respositori untuk mendukung proses lainnya. Tujuannya adalah apabila terjadi sesuatu dengan file, pemilik bisa secara otomatis menerima notifikasi sehingga langsung ditindak lanjuti.
Kemudian, static application security testing. Ini merupakan tes internal untuk mengidentifikasi kerentanan dalam sumber kode.
Tokopedia juga memiliki library vulnerability checker. Fungsinya adalah untuk mengidentifikasi kerentanan di perpustakaan atau paket.
"Kita memiliki fitur scanning secara berkala untuk mendeteksi celah-celah keamanan di libraries ini," ujar David.
Selanjutnya fase kedua dari pengujian keamanan adalah dynamic application security testing. David menyebutkan pengujian ini sebagai directory testing.
Pengujian ini dilakukan ketika aplikasi berjalan. Sebab, David menuturkan, ada beberapa ancaman yang baru terdeteksi ketika aplikasi berjalan. Tujuannya adalah untuk mengeksploitasi bot itu sendiri.
Salah satu contoh pengujian yang dilakukan di level ini adalah Tokopedia melakukan tes dengan pilot.
"Jadi untuk menstimulasi cyber attack juga, dari static application security testing pasti ada complement. Nah untuk memverifikasi supaya tidak ada fraud positive, kita juga melakukan final testing," katanya.
Tokopedia tidak berhenti di situ saja. Mereka juga memerlukan bantuan dari pihak luar dalam pengujian keamanannya. Ada dua hal, yakni bug bounty program dan regular penetration testing.
Bug bounty program merupakan penghargaan kontribusi oleh peneliti dan pengembang keamanan yang membantu membuat sistem Tokopedia lebih aman. Sementara itu, regular penetration testing adalah secara berkala melakukan pengujian penetrasi untuk memastikan tidak ada kerentanan dalam sistem yang dapat dimanfaatkan oleh penyerang.
Ikuti Whatsapp Channel Republika
