WD My Cloud Dibobol Hacker, Bikin Akses Admin dan Data Mudah Dicuri

Kamis, 20 September 2018 | 17:57
www.gadgetguy.com.au

Pemilik WD My Cloud kembali terancam datanya.

Laporan Wartawan NexTren, David Novan Buana

NexTren.com – Western Digital (WD) punya beberapa varian produk penyimpanan berbasis cloud, salah satunya Cloud Storage Western Digital (WD).

Cloud Storage Western Digital (WD) My Cloud ini adalah media penyimpanan berbasis HDD (Hard Disk Drive).

Media penyimpanan digital ini dirancang sebagai solusi baru dalam penyimpanan data pribadi secara cloud dan mudah untuk diakses di berbagai gadget penggunanya.Lewat perangkat ini, pengguna bisa backup data berupa foto, video, dan dokumen dari smartphone, komputer, penyimpanan USB, cloud, dan bahkan termasuk akun media sosial mereka di satu perangkat saja.

Baca Juga : Samsung Galaxy Note 9 Meledak, Kasus Pertama yang Harus jadi Perhatian

Semua data digital di perangkat tersebut juga mudah dibagikan kepada siapa saja dan di mana saja, lewat smartphone, tablet, atau komputer yang terhubung ke internet.

Kini jika kamu pemilik perangkat Cloud Storage Western Digital (WD) My Cloud, waspadalah!

Soalnya, ada lubang keamanan yang bisa bikin membuat perangkatmu diambil alih Hacker.

Perangkat storage NAS (Network-Attached Storage) dari WD tersebut menggunakan internet untuk mengakses kendali perangkat tersebut, dan hacker menggunakannya untuk masuk.

Masalah ini diketahui oleh peneliti dari Securify dan diberikan nama CVE-2018-17153.

Baca Juga : Nokia Siapkan Smartphone Gaming Buat Manjakan Para Penggunanya?

Ia memberikan penyerang dengan akses jaringan ke perangkat NAS untuk melewati cek password, dan masuk dengan izin tertinggi, atau admin.

Akibatnya, hacker dapat dengan mudahnya mengganti izin pemilik NAS, dan menolak mereka untuk masuk ke dalam perangkatnya sendiri.

Kemudian, Hacker juga dapat mengambil semua isi yang ada di NAS, serta melakukan apapun yang diinginkannya, termasuk menghapusnya.

Tanda pertama perangkat NAS milikmu terkena serangan ini adalah adanya peringatan bahwa permintaanmu untuk masuk ke NAS sedang diproses dan dikirim ke pemilik NAS, dan kamu baru bisa masuk bila diizinkan oleh mereka (hacker).

Baca Juga : VIDEO - WD My Passport SSD, Storage Kecil Mungil Tapi Kuat dan Tangguh

Karena sifat storage NAS ini yang harus terhubung ke internet untuk keperluan apapun, maka bila kamu ada di jaringan publik akan lebih mudah terkena serangan.

Selain itu, hacker juga bisa menyusupkan malware ke dalam komputer dan jaringan, kemudian ia akan mencari WD My Cloud dan menyerangnya.

Penyebab Hacker Bisa masuk

Menurut Securify, masalah ini terjadi akibat cara My Cloud dalam membuat sesi admin melalui jaringan internet.

Pada sesi tersebut, akan terpasang alamat IP dan hacker dapat menggunakannya untuk mengirimkan perintah ke interface web perangkat NAS.

Baca Juga : Xiaomi Mi A2 dan A2 Lite Resmi Hadir Mulai Rp 2 Jutaan, Penerus Mi A1

Perintah tersebut akan berbentuk seperti permintaan HTTP CGI yang terlihat wajar di jaringan internet, dan hacker juga menyertakan cookie username=admin.

Kegunaan cookie tersebut adalah untuk membuka akses admin, yang bila dirancang dengan baik bisa digunakan untuk membuat sesi login admin.

Akibatnya, hacker kini punya akses masuk bebas hambatan, bahkan perangkat NAS tidak akan bertanya password pada akses admin.

Menariknya, Securify mengatakan mereka pernah melaporkan lubang ini kepada Western Digital pada April lalu, tetapi tidak ada respon.

Baca Juga : Cara Backup iPhone Kamu ke Komputer, Nggak Khawatir Kehilangan File

Akhirnya setelah lima bulan kemudian, serangan yang menggunakan lubang keamanan ini mulai terjadi, dan berpotensi merugikan pengguna NAS.

Ternyata masalah rentannya keamanan My Cloud bukan pertama kali terjadi.

Sebab pada Januari lalu, WD sempat mengeluarkan perbaikan untuk menutup lubang keamanan akibat adanya password yang tertinggal di sana.

Hal ini bisa berakibat adanya akses masuk lewat jalan belakang bagi orang yang mengetahui password tersebut, dan berpotensi terjadinya pencurian data. (*)

Tag

Editor : Wahyu Subyanto

Sumber The Register