“Di back end, sebenarnya ada berbagai aplikasi atau services (layanan). Komunikasi antaraplikasi atau layanan ini menggunakan API, untuk mempercepat pertukaran data. Nah, meningkatnya penggunaan API ini pun memperluas area permukaan serangan (attack surface) yang dapat dieksploitasi oleh para aktor jahat,” papar Ali.
Yang menjadi persoalan adalah, API memiliki kelemahan yang dapat dieksploitasi. Ali mengatakan, beberapa kelemahan tersebut bisa dilihat di dalam daftar OWASP API Security Top 10.
API dirancang untuk bisa melakukan transfer data dengan mudah dan cepat sehingga data pun bisa berpindah cepat dari satu aplikasi/layanan ke yang lain. API, menurut Ali, juga memungkinkan eksekusi proses-proses yang sifatnya kritis, seperti pembuatan akun, login, transaksi keuangan, yang dapat diakses melalui internet. “Oleh karena itu, (API) juga mengekspos "entry point" yang lebih kritis ke dalam aplikasi. Ini adalah aspek-aspek yang menguntungkan dari sisi DevOps tapi aspek ini juga yang dimanfaatkan oleh para aktor jahat untuk menyederhanakan serangan yang mereka lakukan,” jelasnya. Atau dengan kata lain, API semakin memudahkan para aktor jahat dalam melancarkan serangan.
Perhatikan Tiga Risiko Keamanan
Selanjutnya, Ali Hakim menjelaskan tiga jenis risiko keamanan yang bisa terjadi akibat kelemahan pada API.
Risiko pertama adalah disrupsi terhadap bisnis online. Para aktor jahat melakukan ini dengan bot. “Bot ini adalah mesin yang dapat mengirim request secara berulang-ulang ke API, dengan tujuan membuat aplikasi atau infrastruktur database mengalami overload, sehingga para pengguna yang riil akan mengalami Denial of Service (DoS),” jelasnya.
Serangan semacam ini biasanya dilancarkan di akhir bulan, yaitu saat orang gajian dan melakukan pembayaran atau transfer. Akibat serangan ini, layanan perbankan online menjadi lambat dan tidak andal.
Kalaupun layanan tidak sampai lumpuh, serangan ini tetap bisa menjadi masalah bagi perusahaan karena akan meningkatkan biaya operasional. “Misalnya, sekarang ini, konsumen dapat mendaftarkan akun secara online. Nah, dalam proses registrasi akun itu, untuk melakukan verifikasi bahwa memang benar si konsumen adalah pemilik ponselnya, aplikasi akan mengirimkan pesan SMS OTP. Mengirim SMS ini butuh biaya, dan registrasi akun itu sendiri membutuhkan proses komputasi yang sangat mahal karena aplikasi perlu verifikasi data ke database di back end. Si aktor jahat ini bisa saja menggunakan bot untuk memanggil account registration API untuk membuat akun palsu, dan ini akan membebani perusahaan dengan biaya untuk memroses permintaan dan pengiriman SMS OTP,” jelas Ali panjang lebar.
Bentuk serangan lainnya adalah para aktor jahat itu akan mengirimkan ransomware untuk mengenkripsi data bisnis yang penting, sehingga perusahaan tidak bisa beroperasi sebagaimana mestinya.
Risiko kedua yang mungkin dihadapi adalah kebocoran data pelanggan. Para aktor jahat dapat melakukan eksploitasi terhadap kerentanan atau loophole di aplikasi web dan API. Akibatnya, terjadi kebocoran data yang kemudian berdampak pada reputasi perusahaan, kehilangan pelanggan, timbulnya biaya karena harus memberikan kompensasi kepada pelanggan, dan potensi denda dari regulator.
Jenis risiko ketiga adalah pengambilalihan akun keuangan dan pencurian dana pelanggan. “Banyak orang yang belum penah menggunakan layanan perbankan digital dan tidak cukup paham teknologi sehingga mereka pun dengan mudah menjadi korban penipuan (scam). Bahkan di Singapura, misalnya, meski konsumen/nasabah sudah diedukasi sedemikian rupa, penipuan semacam ini masih saja terjadi, ketika orang tertipu dan memberikan user ID, password, bahkan kode 2FA (two-factor authentication) atau OTP,” jelas Ali.
Proteksi dengan Data dan AI