Dalam beberapa tahun terakhir, jagat digital, termasuk di tanah air, diramaikan oleh kemunculan aplikasi yang diklaim pengembangnya sebagai aplikasi super atau super apps. Tren ini tentu tak lepas dari makin banyaknya aktivitas masyarakat yang dilakukan secara digital. Namun bagaimana perkembangan ini dilihat dari sisi keamanan?
Istilah super app sendiri diperkenalkan pada tahun 2010 oleh salah satu founder Blackberry, Mike Lazaridis. Saat itu, menurut Mike, super app adalah “sebuah ekosistem tertutup dari banyak aplikasi yang akan digunakan orang setiap hari karena aplikasi-aplikasi ini menawarkan pengalaman yang mulus (seamless), terintegrasi, kontekstual, dan efisien.” Kumpulan aplikasi di satu platform tunggal ini menawarkan multiguna yang akan melayani berbagai kebutuhan pengguna.
Satu dekade kemudian, super apps atau aplikasi super pun berkembang pesat di Asia dengan kehadiran, misalnya WeChat dan AliPay di China. Aplikasi WeChat sendiri telah digunakan oleh 1,31 miliar pengguna sampai dengan akhir bulan September 2022, berdasarkan data Statista.
Sementara itu, berdasarkan survei yang dilakukan Ipsos, Grab, Shopee, Lazada, dan Gojek muncul sebagai super apps di Asia Tenggara. Di Indonesia sendiri, selain empat aplikasi tersebut, ada nama Tokopedia, JD ID, BliBli, Bukalapak, dan Traveloka di deretan aplikasi super, menurut kriteria Ipsos.
Belakangan, tak hanya pelaku e-commerce, ride hailing, dan OTA yang merilis super apps. Sektor keuangan pun tak ingin ketinggalan dalam percaturan aplikasi super, misalnya Bank Mandiri yang meluncurkan Livin’ by Mandiri dan Bank CIMB Niaga menghadirkan OCTO Mobile Bank CIMB Niaga.
“Perusahaan media sosial, e-commerce, dan layanan keuangan berlomba-lomba menawarkan super apps agar terpilih sebagai beberapa aplikasi yang biasa digunakan konsumen sebagai bagian dari gaya hidup mereka. Misalnya, perusahaan penyedia layanan keuangan mungkin menawarkan berbagai hal mulai dari pembayaran, transfer dana, atau bahkan investasi, di satu aplikasi yang sama. Aplikasi lain yang dikembangkan oleh perusahaan fintech menawarkan layanan peer-to-peer landing atau ‘buy now pay later’,” jelas Ali Hakim, Regional Sales, Asia, Akamai Technologies Inc. (Akamai) kepada InfoKomputer dalam sebuah wawancara khusus beberapa waktu lalu.
Selain memberikan layanan tambahan bagi pelanggan, strategi ini ditempuh para pelaku bisnis, menurut Ali, dalam rangka meningkatkan “permainan”.
“Media sosial menyediakan e-commerce, sementara pelaku e-commerce, seperti Tokopedia dan Bukalapak, sekarang juga menyediakan layanan keuangan, bekerja sama dengan bank-bank konvensional yang menyediakan banking-as-a-service,” jelas Ali.
Walhasil, Ali melihat akan terjadi tumpang tindih layanan di dalam ekosistem pelaku super app ini. “Namun pada saat yang sama, mereka juga akan berkolaborasi,” imbuhnya.
Waspadai Kelemahan API
Berbicara tentang digitalisasi kita tak bisa lepas dari persoalan keamanan informasi. Begitu pula dalam tren super app ini. Dengan makin banyaknya fitur yang dijejalkan ke dalam satu aplikasi, kompleksitas sistem di belakangnya pun ikut meningkat, yaitu dari sisi aplikasinya sendiri, database, dan infrastruktur.
Ali menjelaskan, berbagai jenis layanan, seperti pembayaran, transfer dana, atau investasi sebenarnya dijalankan oleh aplikasi yang berbeda yang dimungkinkan oleh arsitektur microservices.
“Di back end, sebenarnya ada berbagai aplikasi atau services (layanan). Komunikasi antaraplikasi atau layanan ini menggunakan API, untuk mempercepat pertukaran data. Nah, meningkatnya penggunaan API ini pun memperluas area permukaan serangan (attack surface) yang dapat dieksploitasi oleh para aktor jahat,” papar Ali.
Yang menjadi persoalan adalah, API memiliki kelemahan yang dapat dieksploitasi. Ali mengatakan, beberapa kelemahan tersebut bisa dilihat di dalam daftar OWASP API Security Top 10.
API dirancang untuk bisa melakukan transfer data dengan mudah dan cepat sehingga data pun bisa berpindah cepat dari satu aplikasi/layanan ke yang lain. API, menurut Ali, juga memungkinkan eksekusi proses-proses yang sifatnya kritis, seperti pembuatan akun, login, transaksi keuangan, yang dapat diakses melalui internet. “Oleh karena itu, (API) juga mengekspos "entry point" yang lebih kritis ke dalam aplikasi. Ini adalah aspek-aspek yang menguntungkan dari sisi DevOps tapi aspek ini juga yang dimanfaatkan oleh para aktor jahat untuk menyederhanakan serangan yang mereka lakukan,” jelasnya. Atau dengan kata lain, API semakin memudahkan para aktor jahat dalam melancarkan serangan.
Perhatikan Tiga Risiko Keamanan
Selanjutnya, Ali Hakim menjelaskan tiga jenis risiko keamanan yang bisa terjadi akibat kelemahan pada API.
Risiko pertama adalah disrupsi terhadap bisnis online. Para aktor jahat melakukan ini dengan bot. “Bot ini adalah mesin yang dapat mengirim request secara berulang-ulang ke API, dengan tujuan membuat aplikasi atau infrastruktur database mengalami overload, sehingga para pengguna yang riil akan mengalami Denial of Service (DoS),” jelasnya.
Serangan semacam ini biasanya dilancarkan di akhir bulan, yaitu saat orang gajian dan melakukan pembayaran atau transfer. Akibat serangan ini, layanan perbankan online menjadi lambat dan tidak andal.
Kalaupun layanan tidak sampai lumpuh, serangan ini tetap bisa menjadi masalah bagi perusahaan karena akan meningkatkan biaya operasional. “Misalnya, sekarang ini, konsumen dapat mendaftarkan akun secara online. Nah, dalam proses registrasi akun itu, untuk melakukan verifikasi bahwa memang benar si konsumen adalah pemilik ponselnya, aplikasi akan mengirimkan pesan SMS OTP. Mengirim SMS ini butuh biaya, dan registrasi akun itu sendiri membutuhkan proses komputasi yang sangat mahal karena aplikasi perlu verifikasi data ke database di back end. Si aktor jahat ini bisa saja menggunakan bot untuk memanggil account registration API untuk membuat akun palsu, dan ini akan membebani perusahaan dengan biaya untuk memroses permintaan dan pengiriman SMS OTP,” jelas Ali panjang lebar.
Bentuk serangan lainnya adalah para aktor jahat itu akan mengirimkan ransomware untuk mengenkripsi data bisnis yang penting, sehingga perusahaan tidak bisa beroperasi sebagaimana mestinya.
Risiko kedua yang mungkin dihadapi adalah kebocoran data pelanggan. Para aktor jahat dapat melakukan eksploitasi terhadap kerentanan atau loophole di aplikasi web dan API. Akibatnya, terjadi kebocoran data yang kemudian berdampak pada reputasi perusahaan, kehilangan pelanggan, timbulnya biaya karena harus memberikan kompensasi kepada pelanggan, dan potensi denda dari regulator.
Jenis risiko ketiga adalah pengambilalihan akun keuangan dan pencurian dana pelanggan. “Banyak orang yang belum penah menggunakan layanan perbankan digital dan tidak cukup paham teknologi sehingga mereka pun dengan mudah menjadi korban penipuan (scam). Bahkan di Singapura, misalnya, meski konsumen/nasabah sudah diedukasi sedemikian rupa, penipuan semacam ini masih saja terjadi, ketika orang tertipu dan memberikan user ID, password, bahkan kode 2FA (two-factor authentication) atau OTP,” jelas Ali.
Proteksi dengan Data dan AI
Untuk membantu organisasi menghadapi risiko keamanan dalam operasional aplikasi, pada dasarnya Akamai membantu menyederhanakan proteksi API dengan mengotomatisasi pencarian API yang baru, API yang berubah, atau API yang sudah kadaluwarsa.
“Akamai juga membantu melakukan deteksi terhadap exploit sehingga tim Security Ops memiliki visibilitas dan kemampuan terotomatisasi untuk menghentikan serangan,” Ali Hakim menjelaskan.
Sebagai penyedia platform content delivery network (CDN) selama lebih dari 20 tahun, Akamai memiliki kelebihan tersendiri. Sebagai informasi, CDN adalah platform yang menulangpunggungi pengiriman konten di internet.
“Boleh dibilang, semua pengguna internet sudah menggunakan Akamai, walau tanpa disadari. Jika Anda menggunakan media sosial, menonton video online, berbelanja online, melakukan transaksi keuangan, Anda sangat mungkin sudah berinteraksi dengan platform Akamai,” Ali menandaskan.
Platform ini berinteraksi dengan miliaran pengguna internet setiap harinya. Dan melalui platform ini pula, Akamai menganalisis data-data perilaku interaksi manusia, seperti bagaimana pengguna menggeser tetikus atau mouse, atau bagaimana kecepatan dan interval saat manusia mengetik pada kibor. Bahkan, menurut Ali, interaksi manusia via smartphone menyediakan lebih banyak data yang berasal dari sensor, seperti accelerometer, gyroscope, dan pressure sensor di layar.
“Semua data perilaku ini menjadi data lake yang sangat bernilai, di mana kami menerapkan artificial intelligence dan machine learning untuk menentukan dengan cepat apakah suatu permintaan, misalnya login mobile banking, dilakukan oleh manusia nyata atau mesin,” cerita Ali.
Kemampuan membedakan antara manusia dan mesin atau bot ini dimanfaatkan Akamai dalam memitigasi percobaan pengambilalihan akun, yaitu dengan mengidetifikasi dan memblokir bot. Kemampuan ini tentu sangat bermanfaat di tengah kecanggihan bot yang dimiliki para aktor jahat.
Langkah perlindungan yang dapat dilakukan Akamai adalah adalah mendeteksi scammer yang berhasil mengelabui nasabah sehingga nasabah memberikan kredensial login dan OTP. “Akamai membekali bank dengan kemampuan mendeteksi anomali dalam berbagai parameter, misalnya ketika scammer login ke akun nasabah misalnya menggunakan perangkat, di lokasi geografis, dan zona waktu yag tidak normal atau beda dari kebiasaan nasabah. Akamai akan langsung memberikan alert kepada bank sehingga bank kemudian bisa memilih untuk melakukan langkah mitigasi misalnya melakukan authentication challenge lain, atau meminta customer service menghubungi nasabah untuk mengonfirmasi transaksi,” ujarnya.
Meski kemampuan Akamai ini juga dapat diterapkan pada aplikasi yang tidak berbasis API, tapi menurut Ali, API lebih sering menjadi target karena API sekarang digunakan untuk mengeksekusi fungsi-fungsi kritis pada aplikasi.
Akamai juga memungkinkan bank mengumpulkan dan membuat profil dari setiap nasabah karena para nasabah menggunakan layanan internet dan mobile banking.
“Dengan menerapkan artificial intelligence dan machine learning, Akamai dapat membantu perusahaan mendeteksi anomali ketika aktor jahat mengakses akun nasabah, karena parameternya tidak sesuai dengan profil nasabah asli,” jelas Ali Hakim.
| Penulis | : | Liana Threestayanti |
| Editor | : | Liana Threestayanti |
KOMENTAR