- API yang tidak diamankan dengan baik
API yang lemah (misalnya tanpa autentikasi kuat atau pembatasan akses) bisa diakses pihak tidak berwenang. Walaupun data terenkripsi, penyerang tetap bisa meminta data melalui API secara sah menurut sistem, sehingga data bocor lewat jalur API. - Mengapa enkripsi tidak menjamin keamanan
Enkripsi hanya melindungi data saat disimpan atau dikirim. Jika kontrol akses dan otorisasi gagal, orang yang tidak berhak tetap bisa mengakses data dalam bentuk terbuka setelah berhasil masuk ke sistem. - Langkah pencegahan dari sisi keamanan API dan manajemen akses
- Gunakan autentikasi dan otorisasi yang kuat (token, OAuth).
- Batasi hak akses sesuai kebutuhan (least privilege).
- Terapkan rate limiting dan monitoring API.
- Audit dan uji keamanan API secara berkala.
- Langkah respons insiden awal setelah kebocoran terdeteksi
- Segera menutup akses API atau akun yang bermasalah.
- Mengganti kunci API, token, atau kredensial.
- Menyelidiki sumber kebocoran dan dampaknya.
- Memberi notifikasi internal dan melakukan perbaikan cepat.
