Jawaban Essay_Hash

Pertanyaan Essay

1. Jelaskan bagaimana API yang tidak diamankan dengan baik dapat menyebabkan kebocoran data meskipun sistem menggunakan enkripsi.

2. Analisis mengapa enkripsi data tidak menjamin keamanan apabila kontrol akses dan otorisasi gagal.

3. Rancang langkah pencegahan dari sisi keamanan API dan manajemen akses.

4. Jelaskan langkah respons insiden awal yang seharusnya dilakukan setelah kebocoran terdeteksi.

Jawaban

1. API Tidak Aman vs Enkripsi

Meskipun data di database terenkripsi, API yang lemah menjadi “pintu terbuka”. Penyerang melakukan scraping atau pengambilan data massal melalui endpoint API yang legal. Karena API berfungsi sebagai pengirim data resmi, sistem akan otomatis mendekripsi data tersebut untuk diberikan kepada peminta. Jadi, enkripsi tidak berguna jika akses masuknya tidak dibatasi (misal: tanpa rate limiting).

2. Kegagalan Kontrol Akses & Otorisasi

Enkripsi hanya melindungi isi data, sedangkan kontrol akses menentukan siapa yang boleh melihatnya. Jika otorisasi gagal (seperti celah BOLA/IDOR), penyerang bisa masuk sebagai pengguna biasa lalu meminta data milik orang lain. Sistem mengira itu permintaan sah, sehingga data tetap diberikan meskipun sistem sudah dienkripsi.

3. Langkah Pencegahan (API & Akses)

• Rate Limiting: Membatasi jumlah klik/permintaan per detik agar tidak bisa disedot secara massal oleh bot.

• Otorisasi Ketat: Menerapkan pengecekan setiap kali ada permintaan data (apakah User A benar-benar berhak melihat Data B?).

• OAuth 2.0: Menggunakan token akses yang memiliki batas waktu dan cakupan data terbatas bagi pihak ketiga.

• Audit Endpoint: Menutup API lama yang sudah tidak digunakan tapi masih aktif.

4. Langkah Respons Insiden Awal

1. Isolasi: Segera matikan atau cabut akses API yang terindikasi bocor untuk menghentikan pencurian data lebih lanjut.

2. Identifikasi: Mencari tahu jenis data apa yang diambil dan berapa banyak akun yang terdampak melalui log aktivitas.

3. Revoke Access: Batalkan semua token akses yang aktif dan paksa reset kredensial jika perlu.

4. Patching: Memperbaiki celah logika pada kode API agar lubang yang sama tidak bisa dimasuki lagi.

 

Sabrina nuraini

Previous Post Previous Post
Newer Post Newer Post

Leave a comment