Terungkap! Celah Keamanan API Membuka Akses Streaming Karena Salah Konfigurasi

Banyak layanan streaming terkenal seperti Netflix dan Disney+ sudah sangat ketat dalam mengamankan konten mereka agar hanya dapat diakses oleh pengguna yang berlangganan dan untuk mencegah akses dari wilayah yang tidak diizinkan. Namun, penelitian terbaru mengungkap bahwa platform streaming yang digunakan untuk kebutuhan internal perusahaan atau siaran langsung olahraga masih rentan terhadap masalah keamanan kunci yang sederhana. Seorang peneliti independen bernama Farzan Karimi menemukan bahwa konfigurasi yang salah pada API (Application Programming Interfaces) memungkinkan siapa saja untuk mengakses konten streaming tanpa harus masuk atau membayar. Pada tahun 2020, dia sudah melaporkan celah semacam ini ke Vimeo yang membuatnya dapat melihat ribuan pertemuan internal perusahaan sebelum masalah tersebut diperbaiki. Kemudian, Karimi mengembangkan teknik untuk memetakan bagaimana API bekerja dan saling bertukar data, sehingga dapat dengan cepat mengidentifikasi masalah keamanan ini pada platform lain. Ia mempresentasikan temuannya di konferensi keamanan Defcon di Las Vegas serta merilis alat untuk membantu orang lain mencari potensi celah yang sama di platform streaming lain. Masalah utama adalah banyak API yang tidak melakukan pemeriksaan autentikasi dengan baik, sehingga data dan konten dapat diakses secara bebas jika seseorang tahu cara untuk 'menghubungkan titik-titik' antar API tersebut. Meskipun platform streaming besar sudah memperbaiki atau menghindari masalah ini, platform yang berfokus pada siaran internal atau acara olahraga langsung sering batal dalam mengamankan akses konten mereka. Celah keamanan ini berisiko mengekspos informasi penting dan rahasia, seperti pembicaraan eksekutif tentang restrukturisasi atau informasi strategis perusahaan. Oleh karena itu, penting bagi perusahaan dan penyedia layanan streaming untuk meningkatkan proteksi pada API mereka agar mencegah kebocoran data yang berpotensi merugikan.