Jumat, 6 Mei 2011 – Sebuah tim peneliti keamanan komputer berhasil menemukan sederet kelemahan dalam piranti lunak pembayaran. “Kami berhasil belanja barang-barang secara gratis,” kata Rui Wang dari Universitas Indiana di Bloomington.


Masalahnya berada dalam tiga sifat sistem pembayaran online, yang umumnya melibatkan software perdagangan khusus yang menghubungkan situs penjual dengan perusahaan pengolah pembayaran, seperti Amazon Payments atau PayPal. Hacker dapat memperoleh untung dengan memotong dan membohongi komunikasi yang terlibat diantara situs dan software.

Dalam satu serangan, tim Wang menggunakan plug in browser Firefox untuk memeriksa data yang dikirim dan diterima oleh penjual online Buy.com. Ketika pengguna melakukan pembelian, Buy.com mengarahkan mereka ke PayPal. Ketika mereka telah membayar, PayPal mengirim pesan konfirmasi ke Buy.com disertai kode yang menunjukkan transaksi.

PayPal melaksanakan tugasnya dengan baik, kata Wang, namun Buy.com mudah dikelabui. Pertama tim ini membeli sebuah barang dan mencatat kode konfirmasi yang digunakan oleh PayPal. Lalu mereka memilih barang kedua di Buy.com namun tidak membayar. Mereka menggunakan kode dari transaksi pertama untuk memalsukan pesan konfirmasi, yang diterima Buy.com sebagai bukti pembayaran.

“Kami terkejut ketika cara ini ternyata berhasil,” kata Wang. Tim peneliti tidak menduga kalau “situs besar demikian dapat diserang dengan cara yang semudah ini.”

Wang menggunakan teknik ini pada berbagai situs untuk mendapatkan DVD, charger ponsel dan sebuah pendaftaran majalah online, bersama hal-hal lain – semuanya secara gratis.

Para peneliti akan menyajikan temuan mereka pada simposium Keamanan dan Privasi IEEE bulan Mei 2011 di Oakland, California.

Tidak jelas apakah hacker yang serius memang memakai jalur serangan semacam ini. Penjual online danprosesor pembayaran secara rutin membayar spesialis untuk menguji keamanan sistem mereka, namun hasilnya biasanya dirahasiakan. “Hanya orang-orang tertentu yang benar-benar paham bersama para penjual dan para kriminal,” kata Ben Jackson, seorang konsultan keamanan berbasis Boston.

Tim Wang telah mengembalikan atau membayar barang-barang yang mereka peroleh. Mereka juga memperingatkan perusahaan yang mereka jebol atas temuan mereka, dan sejak itu lubang keamanan di Buy.com dan Amazon Payments telah diperbaiki.

Namun tiga sifat alami sistem pembayaran online ini bermakna kalau mungkin saja masih ada celah keamanan lain yang dapat dieksploitasi hacker, kata pembimbing doktoral Rui Wang, Xiaofeng Wang. “Kami dapat memperbaiki lubang ini,” katanya “namun lubang baru terus muncul.”

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s