Kelemahan Keamanan yang Ditemukan dalam Layanan Penyimpanan Cloud Terenkripsi
Peneliti dari ETH Zurich telah mengungkapkan kerentanan keamanan yang signifikan dalam beberapa layanan penyimpanan cloud end-to-end encrypted (E2EE) yang banyak digunakan.
Kekurangan kriptografis ini dapat memungkinkan para penyerang untuk melewati enkripsi, mengompromi kerahasiaan file, merusak data, atau bahkan menyuntikkan file yang tidak sah ke dalam penyimpanan pengguna.
Studi tersebut menganalisis lima penyedia layanan penyimpanan cloud E2EE — Sync, pCloud, Seafile, Icedrive, dan Tresorit — yang secara kolektif melayani sekitar 22 juta pengguna di seluruh dunia. Setiap layanan tersebut menjanjikan enkripsi yang kuat untuk melindungi file dari akses yang tidak sah, bahkan oleh penyedia layanan.
Namun, peneliti Jonas Hofmann dan Kien Tuong Truong menemukan bahwa empat dari lima layanan tersebut memiliki kelemahan yang serius yang dapat melemahkan perlindungan. Disajikan dalam Konferensi Keamanan Komputer dan Komunikasi ACM (CCS), temuan mereka menyoroti celah potensial dalam janji keamanan E2EE yang dibuat oleh penyedia.
Tresorit Menonjol Namun Tidak Sempurna
Dari layanan yang diuji, Tresorit menunjukkan sedikit kerentanan, dengan risiko kecil terhadap pemalsuan metadata dan kunci non-autentik selama berbagi file. Meskipun kurang parah, masalah ini masih dapat menimbulkan risiko dalam skenario tertentu. Sebaliknya, empat layanan lainnya menunjukkan celah keamanan yang lebih substansial, meningkatkan kemungkinan paparan atau pemalsuan data.
Kerentanan Utama dan Ancaman Realistis terhadap E2EE
Untuk mengevaluasi kekuatan keamanan E2EE, peneliti menguji sepuluh skenario serangan berbeda, dengan asumsi bahwa penyerang telah mengendalikan server cloud dengan izin untuk membaca, mengubah, atau menyuntikkan data. Meskipun tingkat akses ini tidak mungkin, studi ini berpendapat bahwa E2EE harus efektif bahkan dalam kondisi tersebut. Beberapa kerentanan yang mencolok adalah:
– Material Kunci Tanpa Otorisasi: Sync dan pCloud ditemukan memiliki kunci enkripsi tanpa otorisasi, memungkinkan penyerang untuk menyisipkan kunci mereka sendiri, mendekripsi file, dan mengakses data sensitif.
– Substitusi Kunci Publik: Sync dan Tresorit rentan terhadap penggantian kunci yang tidak sah selama berbagi file, memungkinkan penyerang untuk menyadap atau mengubah file.
– Serangan Penurunan Protokol: Protokol yang digunakan oleh Seafile memungkinkan penurunan standar enkripsi yang lebih lemah, membuatnya lebih rentan terhadap serangan brute-force.
Ancaman lain telah diidentifikasi dalam Icedrive dan Seafile, yang menggunakan mode enkripsi tanpa otorisasi, memungkinkan penyerang untuk memodifikasi dan merusak isi file. Selain itu, kerentanan dalam proses “chunking” di sejumlah layanan dapat mengompromikan integritas file dengan memungkinkan penyerang untuk mengurutkan, menghapus, atau mengubah bagian file.
Penyedia Memberikan Tanggapan dan Langkah Selanjutnya
Pada April 2024, para peneliti membagikan temuan mereka dengan Sync, pCloud, Seafile, dan Icedrive, diikuti oleh Tresorit pada bulan September. Tanggapan bervariasi, dengan Sync dan pCloud belum merespons, Seafile bersiap untuk memperbaiki isu penurunan protokol, dan Icedrive menolak untuk menanggapi kekhawatiran. Tresorit mengakui penerimaan tetapi menolak untuk berkomentar lebih lanjut.
Menurut laporan terbaru dari BleepingComputer, Sync mengindikasikan bahwa mereka “mempercepat perbaikan” dan telah menyelesaikan beberapa masalah kebocoran data yang didokumentasikan dengan tautan berbagi file.
Peneliti ETH Zurich percaya bahwa kerentanan keamanan ini umum di banyak platform penyimpanan cloud E2EE, menekankan perlunya penyelidikan lebih lanjut dan protokol baku untuk memastikan enkripsi yang aman dalam industri.
(Gambar oleh Roman)
Lihat juga: Mengapa perusahaan terus kesulitan dengan visibilitas cloud – dan kerentanan kode
Ingin belajar lebih lanjut tentang keamanan cyber dan cloud dari para pemimpin industri? Cek Cyber Security & Cloud Expo yang akan berlangsung di Amsterdam, California, dan London. Jelajahi acara teknologi perusahaan mendatang dan webinar lainnya yang didukung oleh TechForge di sini.
Tags: cloud, Keamanan Cloud, keamanan cyber, Keamanan
Dengan temuan kerentanan keamanan ini dalam layanan penyimpanan cloud terenkripsi, penting bagi penyedia layanan dan pengguna untuk meningkatkan pemahaman dan langkah-langkah perlindungan untuk melindungi data sensitif mereka dari serangan potensial. Dengan pembaruan yang tepat dan tindakan pencegahan yang diperlukan, keamanan dalam penggunaan layanan cloud dapat ditingkatkan untuk melindungi informasi yang berharga.