Perusahaan Dipaksa Ganti Nama karena Rawan Peretasan

CNN Indonesia | Rabu, 11/11/2020 02:06 WIB
Sebuah perusahaan yang menggunakan skrip HTML dipaksa ganti nama lantaran skrip itu memudahkan peretasan di situs yang rentan. Ilustrasi peretas. (Istockphoto/ South_agency)
Jakarta, CNN Indonesia --

Sebuah perusahaan di Inggris dipaksa mengganti nama lantaran nama perusahaan itu rawan dijadikan pintu masuk hacker untuk melakukan peretasan.

Perusahaan itu mengganti nama dari nama dari kode skrip HTML menjadi "PERUSAHAAN YANG MENGGUNAKAN NAMA DENGAN SKRIP HTML TAGS LTD.

Perintah penggantian nama ini dilayangkan oleh lembaga register perusahaan Inggris Raya, Companies House. Menurut lembaga ini, nama perusahaan yang menggunakan skrip HTML itu rentan dengan teknik peretasan sederhana, yang dikenal sebagai 'skrip lintas situs'.


Dengan skrip yang memanfaatkan nama perusahaan, penyerang bisa menjalankan kode dari satu situs web ke situs lain.

Dengan mengawali nama dengan tanda kutip dan chevron, situs apa pun akan yang gagal mengenali kode HTML ini dengan benar.

Peramban akan mengira nama perusahaan itu kosong, lalu memuat dan mengeksekusi skrip dari situs XSS Hunter, yang membantu pengembang menemukan kesalahan pembuatan skrip situs.

Skrip itu hanya akan memasang peringatan yang tidak berbahaya, tetapi berfungsi sebagai bukti bahwa peretas bisa menggunakan kelemahan ini sebagai gerbang ke tujuan yang lebih merusak.

Sebelumnya, terdapat nama perusahaan yang juga digunakan untuk aksi peretasan. Nama perusahaan seperti, "; DROP TABLE "COMPANIES";-- LTD", pernah digunakan untuk melakukan serangan yang dikenal sebagai SQL injection.

Pendiri perusahaan yang merupakan seorang insinyur perangkat lunak Inggris menyebut pembuatan nama perusahaan semata-mata untuk alasan kelucuan. Ia menganggap nama itu akan jadi nama yang menyenangkan untuk bisnis konsultasinya.

Kepada The Guardian, direktur perusahaan yang diminta tak diungkap identitasnya menyebut sebelumnya ada juga perusahaan dengan nama yang unik yang didaftarkan (ke Company House) sehingga ia pikir nama perusahaan dengan kode HTML itu tak akan jadi masalah.

Insinyur itu mengaku tidak menyadari bahwa Companies House rentan terhadap teknik peretasan yang bisa dibobol lewat nama perusahannya.

Melansir Engadget, Companies House telah secara menghapus nama asli perusahaan itu dari datan mereka. Selain itu, semua dokumentasi yang mengacu pada nama asli perusahaan sekarang diberi keterangan 'Nama perusahaan tersedia berdasarkan permintaan'.

Direktur perusahaan tadi, yang meminta untuk tidak disebutkan namanya mengatakan kepada Guardian mengatakan bahwa Layanan Digital Pemerintah (GDS) memiliki reputasi yang baik untuk keamanan.

"Ketika saya menemukan ada beberapa masalah kecil, saya segera menghubungi Companies House dan National Cyber Security Center dan tidak mengungkapkan masalah tersebut kepada orang lain," katanya.

Dia tidak menyadari itu akan menjadi masalah karena karakter seperti ' > dan " secara eksplisit diizinkan sebagai nama perusahaan.

Seorang juru bicara Companies House berkata bahwa perusahaan didaftarkan menggunakan karakter yang dapat menimbulkan risiko keamanan bagi sejumlah kecil pelanggan kami jika dipublikasikan di situs web eksternal yang tidak dilindungi.

"Kami telah mengambil langkah-langkah segera untuk mengurangi risiko ini dan telah mengambil langkah-langkah untuk mencegah kejadian serupa. Kami yakin bahwa layanan Companies House tetap aman," kata juru bicara Companies House.

(jps/eks)


[Gambas:Video CNN]
TOPIK TERKAIT
REKOMENDASI
LAINNYA DI DETIKNETWORK