Selasa, 27 Maret 2012

Pembobolan 1000 Kredit Card di Step-up


Web site yang menawarkan pembelian barang-barang cukup banyak bertebaran di internet.  Pembelian di internetpun menawarkan banyak jasa dengan berbagai kemudahannya seperti dengan credit card, transfer, dll. Saat Amazon pertama didirikan, mereka menggunakan email dan setelah itu baru lah berkembang seperti sekarang ini.
Pertanyaan yang selalu muncul adalah bagaimana security nya ? mari kita melihat contoh kasus pada Stepup yg menggunakan cara konvensional melalui form isian yang tidak melalui SSL maupun  yang sejenisnya. Step up meminta anda untuk mengisi form yang kemudian disimpan pada file text. Disini kemudian muncul sedikit masalah, ketika konsep pembelian yang dilakukan bisa di baca.
Jasakom mencoba melihat ke dalam setting web site step-up dan menemukan bahwa file2 didalam web site tersebut bisa diambil seperti detail transaksi. Contoh dari detail transaksi adalah :
———————————————————————————–
Date 03/10/2000
Time 11:37
**Step Up Systems Order Confirmation **
Order No: 001840
Billing Information (* required)
First Name * : Eric
Last Name * : Shugg
Company :
Address * : 8 Burley Griffin Place
Address 2 : Eaglemont
City * : Melbourne
State/Province : Vic
Zip : 3084
Country * : Australia
Phone Work * : 03 94595742
Phone Home * : 03 94595742
E-mail * : epshugg@melbpc.org.au
Comment :
Position :
How did you find us? : Through Melbourne PC Group
What word did you search on? :
Mr/Mrs/Ms/Dr * : Mr
Shipping Information
First Name : Eric
Last Name : Shugg
Company :
Address : 8 Burley Griffin Place
Address 2 : Eaglemont
City : Melbourne
State/Province : Vic
Zip : 3084
Country : Australia
Phone Work : 03 94595***
Phone Home : 03 94595***
E-mail : epshugg@*******.org.au
Comment :
Payment Method : Mastercard
Credit Card # : 5353 **** 1531 ****  (Lengkapnya disamarkan-Red)
Exp. Date : **/**  (-Red)
Cardholder Name : Eric P Shugg
AMEX ID # :
Qty Part No Name Options Price Total
— ——- —————————— ——- ——- ——-
1 ISW5UD Info Select 5 Upgrade Download $109.00 $109.00
Sub Total : $109.00
Shipping Type : By Mail/Courier
Shipping : $10.00
Tax : $0.00
Total : $119.00
————————————————————————————–
Dari sini kita bisa melihat betapa berbahayanya ketika kita melakukan pembelian di internet. Begitu anda melakukan pembelian di internet, maka keamanan kartu kredit anda bahkan data dari anda diserahkan sepenuhnya kepada pihak web site. Apakah artinya “JANGAN” beli barang di internet ?? tentu saja bukan itu point nya. Karena kalau begitu maka web site dan segala kemudahan yang ditawarkannya tidak akan dan tidak bisa kita manfaatkan.
Ada beberapa teknik secure yang di terapkan di internet seperti konsep HTTPS yang menggunakan enkripsi tapi hal tersebut tetap tidak menjamin keamanan data karena hanya menjamin keamanan dari pengiriman data. Pada verifikasi kartu kredit, seperti yang dikembangkan oleh visa yang memungkinkan pihak pemilik web site tidak menyimpan data kartu kredit dan semua hal tersebut di lakukan oleh pihak visa, sehingga data anda akan aman. Cuman teknik yang dikembangkan oleh visa ini cenderung lebih sedikit ruwet karena membutuhkan anda melakukan tahapan tambahan sebelum melakukan transaksi. Jadi mana yang akan anda pilih ? yang jelas, hati2lah membeli dari website.

Berikut adalah cuplikan berita dari detik :

http://www.detik.com/net/2000/12/18/20001218-092240.shtml
Jasakom.com, Situs Network Security:
1000 Kartu Kredit Bisa Dibobol!
Reporter: Donny B.U.
detikcom – Jakarta, “Jangan beli barang di situs www.stepup.com.au. Kecuali apabila anda rela nomor kartu kredit anda dibajak oleh orang lain,” demikian hal tersebut disampaikan oleh seseorang yang menggunakan nickname S’to dariJasakom.com kepada detikcom melalui e-mail pada Senin (18/12/2000).
Situs stepup.com.au dimiliki oleh perusahaan Step Up System, sebuah perusahaan penjualan software dan hardware secara online, yang berkedudukan di Richmond Victoria, Australia. Sedangkan Jasakom.com merupakan penyedia jasa onlinenetwork security Indonesia dengan cara meng-audit network system security melalui internet dengan cara mendeteksi dan mengakses jaringan yang masihvulnerable dari sudut pandang hacker, dan kemudian melaporkannya kepada penyewa jasa tersebut.
“Pada situs yang memungkinkan kita membeli barang dengan kartu kredit tersebut, telah dilakukan setting yang sangat bodoh oleh admin server. Akibatnya siapapun dapat mengambil nomor kartu kredit beserta detil transaksi setiap orang yang membeli barang.” ujar S’to. S’to menjelaskan caranya dan ternyata sangatlah mudah.
Ketika dicoba, hanya dengan menggunakan browser dan mengetik alamat http://www.stepup.com.au//********/BOOTS-******.c32 (alamat lengkap disamarkan – Red.) maka detikcom bisa mendapatkan banyak sekali salinan lengkap data diri pemesan barang, jenis barang yang dipesan hingga nomor kartu kredit pemesan.
“Kelemahan pada situs tersebut memungkinkan kita untuk mengambil hampir 1000 nomor kartu kredit. Bahkan database security situs tersebut juga dimungkinkan untuk diambil,” ujar S’to. S’to juga menyarankan untuk tidak melakukan transaksi apapun di situs tersebut sebelum bug tersebut diperbaiki oleh admin server.
(dbu)


Source: JASAKOM Information Center

Tidak ada komentar:

Posting Komentar