Bisnis.com, JAKARTA - Dua orang mahasiswa di Amerika Serikat berhasil meretas (hack) aplikasi yang tertanam pada sebuah mesin cuci. Aksi tersebut membuat saldo mereka untuk mencuci baju menjdi tidak terbatas.
Melansir dari The Verge Senin (20/5/2024), kedua mahasiswa yang bernama Alexander Sherbrooke dan Iakov Taranenko mengeksploitasi API pada aplikasi mesin cuci untuk mengoperasikan mesin cuci dari jarak jauh secara gratis dan memperbarui akun laundry tersebut supaya menunjukkan terdapat jutaan dolar di dalamnya.
Application Programming Interface (API) memungkinkan aplikasi dan perangkat berkomunikasi satu sama lain melalui internet. Dalam kasus ini, kerentanan terjadi pada aplikasi CSC Go.
Aplikasi tersebut dipakai untuk menambah dana ke akun pengguna, membayar, dan mulai memuat cucian di mesin terdekat.
CSC ServiceWorks menyediakan mesin cuci yang terhubung ke Internet di perumahan dan kampus di Amerika, Canada, dan Eropa. Perusahaan ini juga melayani berbagai kebutuhan rumah tangga di tempat seperti SPBU, toko serba ada, hotel, dan perguruan tinggi.
Menurut mahasiswa tersebut, mereka dapat memanipulasi server CSC agar menerima perintah yang mengubah saldo akun mereka.
Hal ini karena sistem keamanan yang dilakukan oleh aplikasi di perangkat pengguna secara otomatis dipercaya oleh server CSC. Dengan demikian, mereka dapat membayar cucian tanpa harus menyetor dana nyata ke rekening mereka.
Sherbrooke dan Taranenko menemukan bahwa mereka dapat menghindari pemeriksaan keamanan aplikasi dan mengirimkan perintah langsung ke server CSC dengan menganalisis lalu lintas jaringan saat masuk dan menggunakan aplikasi CSC Go.
Mahasiswa tersebut juga menyatakan API yang cacat dapat berpotensi ke hal yang lebih parah. Celah tersebut menunjukkan batasan sistem keamanan yang bisa dibobol.
Hal ini dapat menimbulkan bahaya kebakaran. Jika dibiarkan, nantinya akan ada aktor jahat yang dapat menguraikan skrip Sherbrooke dan Taranenko untuk mengeksploitasi kerentanan tersebut.
Serbrooke dan Taranenko telah berusaha menghubungi CSC dari Januari melalui email dan telepon mengenai kebocoran keamanan tersebut, namun tidak ada respons balik.
Setelah menunggu lebih dari tiga bulan, mahasiswa tersebut mempublikasikan laporan mereka ke klub keamanan siber universitas pada bulan Mei. Menurut mereka, CSC akhirnya menghapus uang di akun mereka namun belum memperbaiki kerentanan ini.
Mereka bahkan menghubungi Pusat Koordinasi CERT di Universitas Carnegie Mellon untuk mencoba membantu mengungkap kelemahan tersebut dan memberikan solusi, namun usaha ini juga tidak berhasil.
Saat ini, siapa pun yang memiliki pengetahuan teknis tersebut dapat mencuci pakaian secara gratis. (Muhammad Diva Farel Ramadhan)
