YouTube telah dipaksa untuk memperbaiki sebuah kelemahan pada situs tersebut yang mengakibatkan para hackers berhasil membombardir para pengunjung situs tersebut dengan pesan-pesan palsu dan mengarahkan mereka masuk ke situs-situs dewasa.Hackers menempatkan kode-kode di tempat menuliskan komen, di bawah video-video tertentu, yang akan berjalan jika orang menonton klip video tersebut.
Dalam beberapa kasus, sebuah pesan palsu tersebut melaporkan bahwa si penyanyi Kanada Justin Bieber, telah tewas akibat kecelakaan.
Google, yang memiliki YouTube, mengatakan bahwa mereka telah memperbaiki masalah itu “sekitar dua jam” setelah ditemukan.
“Kami mengambil tindakan cepat untuk memperbaiki adanya sebuah kelemahan pada sistempenyampaian pesan lintas-situs (cross-site scripting) (XSS) di YouTube,” kata seorang juru bicara.
“Komen-komen, ketika itu, disembunyikan sementara secara default, selama satu jam, dan kami telah merilis sebuah perbaikan yang komplit mengenai hal tersebut dalam tempo sekitar dua jam,” tambahnya.
Serangan Jahil
Pemanfaatan kelemahan Cross-site scripting (XSS), atau penyampaian pesan lintas-situs, adalah serangan yang relatif sederhana di mana para hacker memasukkan kode-kode ke dalamweb page.
Dalam insiden YouTube, para hacker menggunakan JavaScript code dan HTML, keduanya secara umum digunakan pada web pages.
Para ahli pengamanan mengatakan bahwa, meskipun, dalam kebanyakan kasus, kode tersebut relatif aman, ternyata telah pula digunakan untuk tujuan-tujuan jahil.
“Masalah yang timbul dalam serangan cross-site scripting adalah adanya kesan seolah-olah pesan tersebut disampaikan oleh website yang bersangkutan, yang membenarkan adanya pesan tersebut,” kata Graham Cluley dari perusahaan keamanan Sophos, pada BBC News.
“Pesan-pesan palsu tersebut bisa digunakan untuk menyuruh Anda mengganti password;mengajak Anda masuk ke website jahil; atau melakukan phishing* terhadap Anda,” tambahnya.
Phishing adalah taktik umum yang dilakukan penjahat dunia maya dan melibatkan penggunaanwebsites palsu untuk membujuk orang memberikan data-datanya seperti rekening bank ataulogin names mereka.
“Saya telah menyaksikan serangan XSS yang jahil yang digunakan untuk memalsukan seluruhlogin screens, dan kami tahu berapa banyak orang yang menggunakan password yang sama untuk banyak
akun,” kata Brojan Zdrnja dari Internet Storm Centre, dalam sebuah blog.
Mr. Cluley mengatakan bahwa tanggung jawab terhadap resiko serangan seperti ini berkenaan dengan seberapa jauh keamanan sebuah website dibuat.
“Programmer Web harus lebih berhati-hati dengan kode-kode yang mereka buat.” Katanya.
Google mengatakan bahwa mereka “terus menerus mempelajari kelemahan ini untuk mencegah timbulnya masalah serupa di kemudian hari.”
Ketika serangan itu pertama kali dilaporkan, ada rumor yang mengatakan bahwa YouTube telah terkena virus. (BBC News)
* Perbuatan mengirim e-mail ke seseorang dengan mengaku sebagai sebuah perusahaan atau lembaga yang sah, yang tujuannya unuk menipu para pengguna internet agar menyerahkan informasi pribadi mereka, yang akan digunakan untuk pemalsuan identitas. E-mail tersebut mengarahkan si pengguna untuk mengunjungi sebuah website, di mana mereka diminta untuk meng-update informasi pribadi mereka, seperti password dan kartu kredit, social security, dan nomer rekening bank, yang telah dipunyai oleh organisasi yang sah. Web site tersebut, tentu saja, palsu dan dibuat untuk tujuan mencuri informasi para pengguna.
Posts
Post a Comment