BTC
$0.00
0.00%
Saya tidak pernah menyangka bahwa malam biasa bisa berubah menjadi kisah spionase yang kemudian menjadi terkenal di seluruh dunia. Kisah yang sangat aneh, tetapi pada saat yang sama sangat sederhana, yang harus saya ceritakan pertama kali kepada petugas keamanan perusahaan, dan sekarang kepada Anda.
Selain itu, tidak sulit untuk membayangkan apa yang akan terjadi jika perangkat lunak saya, setelah melalui otentikasi, tiba-tiba mendapatkan akses ke kunci dompet kripto di seluruh dunia – sama seperti robot penyedot debu. Saya tidak hanya dapat melihat data, tetapi juga mengendalikan dana orang lain yang dimiliki oleh orang asing di seluruh dunia. Tapi saya akan menceritakan semuanya secara berurutan.
Saya duduk di kamar saya dan mencoba menguasai pengendalian penyedot debu baru saya, DJI Romo, yang menggabungkan teknologi drone (LiDAR, penglihatan binokular) dan fungsi pengawasan video. Sederhananya: saya ingin bermain-main sebentar, bukan membersihkan rumah. Dan ketika saya menyalakan penyedot debu saya, data dari perangkat lain muncul di hadapan saya. Lalu satu lagi, dan lagi. Dan dalam beberapa menit, saya sudah melihat 6700 robot dari seluruh dunia, masing-masing dengan nomor seri, alamat IP, status baterai, dan bahkan peta ruangan. Artinya, pada saat yang sama, saya memiliki akses ke ribuan rumah orang lain dan kamera mereka.
Pada suatu saat, saya menjadi pengamat tak terlihat di ratusan apartemen di Asia, Eropa, Amerika Utara, dan sebagainya.
Meskipun saya tidak meretas robot-robot ini secara sengaja – kunci otentikasi saya hanya dianggap sebagai kunci universal oleh server DJI. Sekarang, bayangkan jika alih-alih robot penyedot debu, sistem ini berisi rekening dan dompet kripto – masing-masing berisi ratusan atau ratusan ribu dolar dalam berbagai mata uang digital!
Saya ngeri membayangkan betapa sedikit waktu yang dibutuhkan untuk mentransfer ratusan juta ke tujuan yang tidak diketahui – karena, penjahat dapat dengan cepat mentransfer ether, bitcoin, atau token lain ke alamat pihak ketiga. Namun, untungnya, itu hanya skenario hipotetis. Pada kenyataannya, saya dihadapkan pada jutaan gambar interior rumah dan jalur pergerakan penyedot debu, bukan kunci dari akun mata uang kripto.
Saya segera mematikan aplikasi saya, mengembalikan akses DJI, dan menulis surat kepada perusahaan tentang kerentanan tersebut. Saya hampir disebut sebagai penjahat, padahal sebenarnya saya hanya mencoba membersihkan ruangan dengan bantuan perangkat tersebut.
Namun, tampaknya perusahaan telah mempelajari pelajaran ini — karena ketika berbicara tentang data pribadi atau aset digital, satu kesalahan bisa berharga jauh lebih mahal daripada yang dapat Anda bayangkan!
Setelah kisah dengan Romo, saya pikir saya telah mengakhiri kisah aneh ini. Ya, ini adalah kisah yang terkenal ketika saya mencoba menguasai pengendalian robot baru saya, DJI Romo, yang menggabungkan teknologi drone dan fungsi pengawasan video, dan merusak perangkat robotik di seluruh dunia. Namun, intrik sebenarnya dimulai kemudian, ketika seorang teman saya yang merupakan analis di Chainalysis menelepon dan menanyakan apakah saya yakin bahwa kasus saya hanyalah kebetulan? Perlu dicatat bahwa sebelumnya kami pernah bertemu di konferensi keamanan digital di San Francisco dan Las Vegas, di mana kami membahas tentang phishing, cara dan metode peretasan, serta dompet kripto yang telah diretas.
Dia mengatakan bahwa sistem mereka mendeteksi aktivitas yang mencurigakan: upaya sinkron untuk mengakses beberapa ribu dompet kripto, yang memiliki satu kesamaan — penggunaan layanan pihak ketiga dengan otentikasi terpusat. Selain itu, tidak ada tanda-tanda peretasan langsung yang terlihat. Hanya ada titik lemah antara pengguna dan server. Saya setuju untuk menceritakan semua yang saya ketahui tentang hal ini dan kisah yang sudah terkenal tentang bagaimana saya secara tidak sengaja meretas 6700 perangkat.
Kami bertemu secara offline. Di atas meja ada laptop yang berisi daftar transaksi, cap waktu, dan klaster IP. Sebagian rute mengarah ke infrastruktur yang sebelumnya dikaitkan dengan Lazarus Group — kelompok yang terkenal dengan serangan terhadap bursa kripto dan proyek DeFi. Tidak ada bukti langsung. Namun, kebetulan-kebetulan tersebut terlalu menarik.
Saya menyadari bahwa jika kerentanan Romo tidak terkait dengan robot penyedot debu, melainkan dompet kripto, skenarionya akan menjadi bencana: sistem akan mencatat pergerakan dana. Selain itu, kunci pribadi akan hilang selamanya. Yang menarik, pengguna akan menyalahkan bursa, produsen, dan pengembang perangkat lunak. Namun, penyebab sebenarnya adalah kesalahan dalam arsitektur akses.
Kami tidak mempublikasikan tindakan kami selanjutnya. Sebaliknya, saya menyampaikan kesimpulan teknis kepada tim keamanan dan dalam beberapa hari patch sudah tersedia. Saya diberi tahu melalui surat bahwa para ahli sedang menguji sistem keamanan berikutnya untuk mencegah munculnya fenomena yang disebut “kunci universal”.
Di dunia digital, kejahatan jarang dimulai dengan peretasan. Seringkali, kejahatan dimulai dengan satu solusi praktis yang bekerja “terlalu baik untuk semua kunci”. Dan terkadang, semuanya bisa dimulai dengan menyalakan pengontrol penyedot debu biasa. Ya, itulah yang baru-baru ini terjadi pada saya.
