Belum juga pulih dari serangan Heartbleed, kini telah ada lagi sebuah celah kerentanan baru dalam protocol keamanan OAuth 2.0 dan OpenID.

Adalah Wang Jing, seorang mahasiswa doktoral di Nanyang Technological University di Singapura yang telah melihat adanya sebuah bug yang memungkinkan hacker untuk menggunakan teknik phising dalam upaya untuk mencuri rincian logil tanpa diketahui pengguna. Demikian seperti dikutip PULSAonline via CNET.

Bug tersebut pada dasarnya memungkinkan penjahat cyber untuk menggunakan otentikasi situs nyata untuk menghidupkan sebuah popup phising, bukan dengan cara yang lebih umum dengan membuat domain palsu. Nah, dalam proses tersebut, hacker akan menerima login kredensial pengguna.

Celah kerentanan tersebut dikatakan telahmenghantui banyak situs ternama, termasuk Facebook, Google, Yahoo, LinkedIn, paypai, dan Microsoft.

Google
(yang menggunakan OpenID) menyatakan bahwa pihaknya tengan melacak permasalahan tersebut. Sementara LinkedIn mengatakan bahwa perusahaan telah menerbitkan sebuah blog terkait masalah yang tengah hangat dibicarakan ini. Raksasa software, Microsoft, mengklaim telah melakukan penyelidikan adapun terkait kerentanan ada pada domain dari pihak ketiga dan bukan pada situs miliknya.

Untuk menambal celah kerentanan
dikatakan Wang tidaklah semudah untuk mengatakannya. Namun, Wang juga mengatakan jika semua aplikasi pihak ketiga secara ketat patuh menggunkan daftar putih, tidak ada ruang untuk serangan.

“Menambal celah kerentanan ini lebih mudah dikatakan daripada dilakukan. Jika semua aplikasi pihak ketiga secara ketat patuh menggunakan daftar putih, tidak aka nada ruang untuk serangan,” kata Wang.

Lebih lanjut wang mengatakan, lantaran di dunia nyata, sebagian besar aplikasi pihak ketiga tidak mematuhi hal tersebut, membuat sistem berbasis OAuth 2.0 atau OpenID menjadi sangat rentan.

Lalu apa yang dapat pengguna lakukan untuk menghindari serangan? Anda sebaiknya ekstra hati-hati ketika akan masuk ke sebuah situs dengan menggunakan akun Twitter, Google atau Facebook Anda. Seperti yang CNET imbau, hati-hati terhadap tautan (link) yang meminta Anda untuk masuk menggunakan akun-akun di atas dan segera tutup window untuk mencegah serangan “redirection”. Singkatnya, selalu berhati-hati sebelum Anda mengunjungi situs atau link tertentu.