Hati-Hati, Teknik Phishing Baru Ini Eksploitasi Celah Keamanan Google Docs

Keamanan berinternet adalah hal kompleks. Penyedia layanan serta pengembang sistem operasi tidak pernah lelah untuk menyempurnakan sistem mereka. Tapi celahnya selalu saja ada, dan dengan memanfaatkan ketidaktahuan atau kelalaian pengguna, pihak-pihak tak bertanggung jawab terus mencoba mencuri data-data pribadi kita.

Ada insiden baru terjadi di hari Rabu kemarin. Sebuah usaha phishing sempat dilakukan dengan menggunakan sistem pengesahan OAuth punya Google buat menginstal aplikasi-aplikasi web jahat. Tidak seperti upaya phishing (‘memancing’ informasi dengan menyamar jadi entitas terpercaya) biasa yang memanfaatkan alamat internet palsu, serangan ini muncul sebagai permintaan otorisasi app.

Usaha peretasan tersebut memakai teknik yang berbeda. Ia memperdaya user untuk memberikan informasi sensitif tanpa meminta password. Caranya adalah mengelabui melalui Google Docs.

Prosesnya sangat simpel, dan hal inilah yang membuatnya berbahaya. Pertama, calon korban menerima email yang menawarkan akses sharing file Google Docs. Dengan mengklik ‘Open in Docs’, akan muncul layar seleksi akun Google asli, dan diikuti oleh permintaan otorisasi buat mengakses informasi kontak Gmail dan Google. Anda telah jatuh dalam perangkap jika menekan link yang ada di sana.

Kecanggihan dari teknik ini adalah ada banyak orang mudah mempercayai permintaan share file Google Docs. Dan jika kebetulan Anda sudah jadi korbannya, Anda perlu memutus akses app tersebut. Caranya adalah dengan pergi ke security page Google, pilih Manage App, lalu buang Google Docs dari daftar itu. Ada baiknya ada mengecek hal ini sekarang juga.

Menurut penjelasan CTO PhishMe Inc. via Reuters, metode ini merupakan ‘masa depan’ dari kegiatan phishing. Sang peretas bisa mendapatkan apa yang ia inginkan tanpa perlu repot-repot membubuhkan malware pada device.

Alphabet merespons serangan tersebut dengan segera memberikan peringatan dan panduan buat menanggulanginya. Google juga meyakinkan para pengguna bahwa mereka telah mengambil langkah serius – mematikan akun, menghapus laman palsu, memberikan update, dan tim bekerja keras supaya hal ini tidak terjadi lagi. Mereka juga menyarankan Anda untuk melaporkan alamat-alamat email phishing.

Pelajaran yang bisa kita ambil dari kejadian ini adalah, jika Anda tidak menantikan pemberian akses ke dokumen di Google Docs, maka jangan dibuka. Lalu seandainya tidak yakin siapa pengirimnya, langsung cek identitasnya dan pastikan email dikirm oleh orang-orang yang Anda kenal.

Sumber: Reuters & Ars Technica.

Twitter Siap Tutup Akses Tanpa OAuth

Hari ini adalah hari terakhir Twitter mengijinkan aplikasi-aplikasi pihak ketiga untuk melakukan otentikasi ke Twitter secara langsung. Mulai besok, semua proses otentikasi dari aplikasi untuk mendapat akses ke Twitter harus menggunakan OAuth.

Twitter sendiri telah mengkomunikasikan mekanisme ini kepada para pengembang sejak Desember tahun lalu, sehingga diharapkan para pengembang sudah menyiapkan update aplikasinya agar mulai besok masih bisa terus mendapat akses ke Twitter.

Continue reading Twitter Siap Tutup Akses Tanpa OAuth

Login Koprol Lewat Google dan Twitter

Sedikit update dari tim Koprol yang diumumkan melalui blog resmi mereka, Koprol akan menambahkan fitur signin dengan memasukkan Google dan Twitter ke daftar account vendor.

Sebelumnya Koprol mengadakan kerjasama dengan Yahoo! Indonesia dengan menambahkan fitur pendaftaran menggunakan Yahoo! ID. Saat ini anda dapat mendaftar di situs Koprol dengan menggunakan account Google anda atau menggunakan platform OAuth milik Twitter.

Continue reading Login Koprol Lewat Google dan Twitter

Implementasi Twitter OAuth Sudah Dimulai

Hari ini Twitter secara diam-diam merilis Twitter OAuth untuk konsumsi beberapa developer dalam status private Beta. Apakah Twitter OAuth ini? Twitter OAuth adalah sebuah sistem autentifikasi/pengenalan user Twitter untuk menggunakan layanan berbasis Twitter. Contoh mudah, jika anda menggunakan layanan seperti Ping.fm atau HelloTXT atau Twitter-apps apapun maka anda harus memasukkan identitas/kredensial Twitter anda (user/password). Nah, Twitter OAuth dikembangkan untuk mencegah penggunaan user/password Twitter di tempat lain. Mengingat beberapa kejadian tidak enak yang berhubungan dengan account twitter, maka sepertinya langkah ini merupakan langkah yang tepat untuk menjamin keamanan pengguna.

Sejauh ini sudah ada kurang lebih 150 pengembang yang diberikan akses untuk berpartisipasi dalam pengembangan Twitter OAuth ini. Para pengembang ini nantinya akan mengembangkan aplikasi – aplikasi berbasis Twitter OAuth ini seperti yang terlihat di halaman khusus Twitter OAuth. Di halaman inilah para pengembang juga dapat me-review aplikasi Twitter mereka.

Para khalayak Twitter-pun menyambut hal ini dengan respons positif, karena semoga dengan adanya OAuth ini, pengguna tidak perlu lagi memberikan username/password Twitter mereka ke situs manapun.Hal

Rumor lain menyeruak seputar TweetDeck yang direncanakan dirilis besok. Ada tiga kemungkinan, pertama TweetDeck belum mengaplikasikan OAuth ini dan akan menunda rilisnya hingga diimplementasikan, atau kedua TweetDeck sudah mengaplikasikan OAuth dan menjadi aplikasi Twitter pertama yang menggunakannya. Dan kemungkinan ketiga, TweetDeck belum mengaplikasikannya namun tetap nekat untuk merilisnya besok dan tentunya akan mengecewakan *lumayan* banyak pihak.

sumber:readwriteweb