~~~~~~~Forum Diskusi Software dan Internet untuk Kristen-Katolik~~~~~~~
Dilengkapi Fasilitas Netbanking
Lippo.co.id Berhasil Dihacked FC!
Reporter: Donny B.U.
detikcom - Jakarta, Anda ingin melakukan transaksi perbankan melalui
Internet? Silakan saja. Mudah-mudahan informasi berikut ini tidak akan
mengurungkan niat anda tersebut. Fabian Clone (FC) menggungkapkan bahwa
pengguna layanan Internet Banking (netbanking) selalu dalam resiko.
Buktinya, situs Lippobank.co.id berhasil ditembus!
Situs Lippobank yang dirancang-bangun oleh PT Media Manager Network tersebut
menyediakan layanan Account Summary, Online Registration, Funds Transfer,
Credit Card Payment, Bill Payment, Cheque/Giro status.
"Lippobank menggunakan aplikasi dari Netbank, yang dipasang di server yang
berbeda dengan server www. Menurut saya, bila seseorang mampu melakukan
compromise pada server www, para user netbank akan selalu berada dalam
resiko," ujar FC kepada detikcom, Selasa (3/10/2000).
Menurut FC, karena logon dapat dilakukan lewat server www maka cracker akan
berusaha mengubah kode ASP di server www. Lalu dengan teknik ala trojan
horse, cracker dapat membelokkan informasi logon dari user ke program
miliknya.
Tetapi, mungkinkah melakukan compromise pada server www milik situs
Lippobank? "Tentu saja bisa," ujar FC. FC membuktikkan hal tersebut dengan
memberikan alamat url http://www.lippobank.co.id/fabianclone.htm. Di url
tersebut, tertulis "So firewall is not enough... To admin, if you want to
know how it might happened, don't hesitate to contact me
([EMAIL PROTECTED])".
FC menyatakan tidak ingin menyentuh aplikasi netbanking yang tersimpan di
server yang berbeda dengan server www karena tidak banyak menguasai masalah
sistem tersebut. "Beberapa waktu lalu, saya mencoba melakukan
security-assessment terhadap salah satu situs internet-banking, yaitu
Lippobank," ujar FC. Hasilnya ternyata memang ada kelemahan pada situs
Lippobank tersebut.
Selain membuktikkan lemahnya situs Lippobank tersebut di atas, FC juga
menyayangkan administrator situs tersebut yang memasang suatu web-interface
untuk memudahkan administrasi situs Lippobank, tetapi dengan mudah bisa
diakses dan ditebak oleh siapa saja. Alamat url tersebut adalah
http://www.lippobank.co.id/admin.
"Sekalipun harus melewati otentikasi seperti username dan password, program
yang ditulis dalam PHP tersebut memiliki beberapa kesalahan yang
memungkinkan seorang cracker menambahkan user berstatus admin dan mengakses
berbagai tabel database di dalam situs Lippobank, diantaranya: kurs mata
uang, deposit, stock, news, dan lain-lain,' ujar FC.
Nah, mudah-mudahan niat anda bertransaksi netbanking tidak pudar.
(dbu)
----- Hemat Bandwith : Hapus pesan yang tidak perlu sebelum reply -----
SUBSCRIBE---> To: [EMAIL PROTECTED], Isi/Body: kosong
UNSUBSCRIBE---> To: [EMAIL PROTECTED], Isi/Body: kosong
This conference is now hosted by GRC. See our site at
http://www.grcomputing.net
This list is now being hosted on the XC listserver hosted by GRC. See our site at
http://www.grcomputing.net
