Hati-hati, Pemakaian Penyingkat URL Rentan Malware

Liputan6.com, Jakarta - Penyingkat URL atau URL shorteners mungkin bisa menjadikan tampilan tautan yang ingin Anda bagi di blog dan jejaring sosial menjadi rapi dan menarik. Namun, tahukah Anda bahwa penyingkat URL dapat menimbulkan risiko keamanan yang serius?

Dua orang peneliti menemukan hal tersebut dalam studi yang dilakukannya selama 18 bulan. Vitaly Shmatikov dari Cornell Tech bersama dengan Martin Georgiev menyatakan kesimpulannya setelah melakukan penelitian terhadap penyingkatan URL yang digunakan oleh Microsoft pada aplikasi penyimpanan cloud OneDrive serta Google dalam layanan Maps.

Apa yang mereka temukan bisa dibilang sangat menakutkan. Keduanya mencatat, Microsoft menggunakan layanan Bitly untuk menghasilkan URL pendek dan menghubungkan ke file OneDrive milik pengguna. Selain itu penyingkatan URL tersebut dianggap memiliki struktur yang dapat diprediksi.

Informasi yang dikutip dari laman The Next Web, Minggu (17/3/2016), hal ini mempermudah seseorang untuk melihat satu file yang disimpan dalam OneDrive dan menemukan file lain yang dibagi oleh pengguna yang sama.

Tidak hanya menemukan file, tetapi juga berbagai informasi sensitif lainnya. Selain itu, siapapun yang melihat fiel tersebut bisa saja menyuntikkan malware dan virus ke dalam file dengan mudah.

Sedangkan ketika melihat tautan Google Maps, Shmatikov dan Georgiev mengatakan, mereka bisa memindai URL dengan token 5 karakter dan melihat di mana lokasi serta tujuan si pemilik URL. Meski informasi tersebut kelihatannya random dan tak berguna, keduanya menganggap alamat tujuan bisa digunakan untuk mengakses data keluarga hingga nama dan usia seseorang.

Untungnya, metode penyingkatan URL yang digunakan oleh kedua layanan di atas telah diubah setelah peneliti memperingatkan Google dan Microsoft mengenai hasil temuan tersebut. Shmatikov dan Georgiev menyebutkan, Google segera memberi tanggapan dan kini menerapkan token 11-12 karakter pada tautan Maps-nya untuk menghindari pemindaian URL.

Sedangkan Microsoft menyatakan bahwa keputusannya menonaktifkan penyingkatan link melalui OneDrive bukan disebabkan karena hasil temuan kedua peneliti.

Untuk itu, Shmatikov mencatat mereka perlu mempublikasikan kepada pengguna bahwa penyingkatan tautan melalui sebuah file rupanya memiliki dampak buruk.

Karenanya, untuk membuat data tetap aman, Shmatikov dan Greorgiev menyarankan untuk menggunakan in house resolver dibandingkan layanan seperti Bitly untuk menjaga bot dari pemindaian dengan CAPTCHA dan mengembangkan API yang kuat agar tidak mengungkap keseluruhan file. 

(Tin/Ysl)