Pertanyaan:
Latar Belakang
Facebook (Meta) pernah mengalami kebocoran data pengguna dalam skala besar.
Dalam salah satu kasus, data diperoleh melalui penyalahgunaan fitur dan API, bukan dari peretasan server secara langsung.
Pertanyaan Essay
1. Jelaskan bagaimana API yang tidak diamankan dengan baik dapat menyebabkan kebocoran data meskipun sistem menggunakan enkripsi.
2. Analisis mengapa enkripsi data tidak menjamin keamanan apabila kontrol akses dan otorisasi gagal.
3. Rancang langkah pencegahan dari sisi keamanan API dan manajemen akses.
4. Jelaskan langkah respons insiden awal yang seharusnya dilakukan setelah kebocoran terdeteksi.
Instruksi Output Tugas
Kerjakan tugas dalam bentuk essay tertulis
Tuliskan jawaban pada Cermi di: https://bisnisdigital.raharja.ac
Setelah Cermi selesai, buat shortlink melalui: https://bysl.pw/
Submit link shortlink Cermi ke: https://idu.raharja.ac.id
Status:
100% selesai.
Keterangan:
Saya telah mengerjakan tugas dengan baik dan benar.
Bukti:
Jawaban=
1. Bagaimana API yang tidak diamankan dengan baik dapat menyebabkan kebocoran data meskipun sistem menggunakan enkripsi
API berfungsi sebagai penghubung antara aplikasi dan data di server. Walaupun data disimpan dan dikirim dalam kondisi terenkripsi, API yang tidak diamankan dengan baik tetap dapat menjadi celah kebocoran data. Hal ini terjadi karena enkripsi hanya melindungi data saat disimpan (data at rest) dan saat dikirim (data in transit), tetapi tidak mengatur siapa yang berhak mengakses data tersebut.
Jika API tidak memiliki mekanisme autentikasi dan otorisasi yang ketat, pihak yang tidak berwenang dapat memanfaatkan endpoint API untuk meminta data secara sah menurut sistem. Akibatnya, server akan mengirimkan data yang sudah didekripsi kepada pihak tersebut, sehingga kebocoran terjadi tanpa perlu meretas sistem atau memecahkan enkripsi.
2. Mengapa enkripsi data tidak menjamin keamanan apabila kontrol akses dan otorisasi gagal
Enkripsi bertujuan untuk melindungi data dari akses tidak sah, namun enkripsi tidak dapat menggantikan kontrol akses. Apabila sistem gagal memverifikasi identitas pengguna atau membatasi hak akses, maka pengguna atau aplikasi yang tidak berwenang tetap dapat memperoleh data yang sensitif.
Ketika kontrol akses lemah, sistem akan menganggap permintaan sebagai sah dan secara otomatis mendekripsi data sebelum dikirimkan. Dengan kata lain, kegagalan otorisasi membuat enkripsi menjadi tidak efektif karena data diberikan secara legal oleh sistem kepada pihak yang seharusnya tidak memiliki hak tersebut.
3. Langkah pencegahan dari sisi keamanan API dan manajemen akses
Beberapa langkah pencegahan yang dapat diterapkan antara lain:
-Menerapkan autentikasi yang kuat pada API, seperti penggunaan OAuth 2.0, API key yang aman, atau token berbasis JWT.
-Mengimplementasikan otorisasi berbasis peran (Role-Based Access Control) sehingga pengguna hanya dapat mengakses data sesuai haknya.
-Membatasi jumlah dan jenis data yang dapat diakses melalui API (prinsip least privilege).
-Melakukan validasi dan pembatasan permintaan API (rate limiting) untuk mencegah penyalahgunaan.
-Melakukan audit dan pengujian keamanan API secara berkala untuk mendeteksi celah keamanan sejak dini.
4. Langkah respons insiden awal setelah kebocoran data terdeteksi
Langkah respons insiden awal yang seharusnya dilakukan meliputi:
– Mengidentifikasi sumber dan penyebab kebocoran data, termasuk API atau fitur yang disalahgunakan.
-Menonaktifkan sementara akses API atau akun yang dicurigai untuk mencegah kebocoran lebih lanjut.
-Mengamankan sistem dengan memperbaiki konfigurasi keamanan dan menutup celah yang ditemukan.
-Melakukan analisis dampak untuk mengetahui jenis dan jumlah data yang bocor.
-Melaporkan insiden kepada pihak internal terkait dan, jika diperlukan, kepada regulator serta pengguna yang terdampak.