4 Rekomendasi Kasus SQL Injection di Ragam Industri
SQL injection adalah serangan keamanan yang memberikan akses penyusup untuk menambah, menghapus, atau memodifikasi database dan query aplikasi. Kasus ini banyak terjadi pada perusahaan yang mengadaptasi database relasional. Contoh kasus nyata SQL injection ditemukan di Zendesk CRM oleh beberapa peneliti Varonis Threat Labs. Adanya vulnerability menyebabkan penyusup memiliki akses ke lebih dari 100.000 data pelanggan. Kabar baiknya, masalah ini dapat selesai dalam waktu satu minggu dengan bantuan peneliti dari Varonis Threat Labs.
SQL injection adalah model pemrograman berbahaya yang jika disuntikkan ke dalam kode data base dapat menghancurkan data base. Peretas juga dapat menyebabkan serangan database D-O-S (Denial of Service). Penyusup atau peretas dapat mengubah informasi apa pun yang dapat diakses oleh aplikasi atau data pengguna lain. Dalam kebanyakan kasus, SQL injection memungkinkan penyusup untuk mengakses database yang biasanya tidak dapat mereka akses. Kasus ini tidak hanya sekali dua kali terjadi. Pada artikel ini kita akan membahas kasus-kasus SQL injection sebagai pelajaran agar kita lebih berhati-hati terhadap penjahat digital.
1. GhostShell Attack
GhostShell Attack adalah serangan dunia maya paling terkenal yang dilakukan oleh kelompok yang dikenal dengan ‘Ghost’. Mereka mengklaim telah membocorkan sekitar satu juta akun pengguna dari 100 situs web di seluruh dunia. Target utama mereka adalah instansi pemerintah, bank, perusahaan manufaktur, dan finance. Penyerang menggunakan alat SQLmap yang terkenal untuk serangan ini dan meretas data base yang mencakup sekitar 30.000 data atau record. Berita lengkap mengenai serangan global yang menyerang perusahaan di banyak negara bisa kamu simak pada laman berikut ini.
Baca juga : Saatnya Belajar SQL, Kenali Rekomendasi Query SQL Bagi Pemula
2. HBGary Breach
Perusahaan Keamanan Amerika Serikat, HBGary diserang oleh Tim Anonim yang melanggar jaringan HBGary dan memposting arsip email eksekutif di jaringan berbagi file. Selain itu, grup tersebut meretas situs web perusahaan dan menggantinya dengan pesan yang mengklaim bahwa mereka mengungkapkan temuan si CEO, Aaron Barr secara independen karena yakin bahwa temuan Barr tidak benar. Berita lengkap mengenai kasus HBGary ini bisa kamu simak di sini.
3. 7-Eleven Breach
Pada 8 Agustus 2022 di Denmark, sekelompok peretas menyerang ritel chain dari 7-Eleven. Dalam database tersebut, mereka berhasil mencuri 130 juta nomor kartu kredit. Laporan menyebutkan bahwa setiap pelanggan kehilangan sekitar $600 juta dan peretas melakukan ini melalui aplikasi pembayaran toko yang baru diluncurkan, yaitu 7pay. Setelah kejadian ini, toko ditutup untuk waktu yang lama, dan orang-orang diperintahkan untuk memblokir kartu mereka.
4. Cara Mencegah SQL Injection
Kasus peretasan dan pencurian data dari ‘gudangnya’ seperti ini dapat terjadi kepada siapapun. Oleh karena itu, setiap perusahaan harus memiliki tindakan preventif untuk melindungi data mereka. Beberapa cara yang bisa dilakukan antara lain
Developer perlu memfilter setiap input dari program, termasuk tanda kutip tunggal yang kemungkinan berisi elemen jahat, serta login forms dan web input forms lainnya. Selanjutnya, developer harus mematikan database error visibility untuk mencegah kerusakan yang lebih parah karena error pada database terbukti sangat berbahaya untuk sharing informasi mengenai database.
Gunakan WAF atau Web Application Firewall untuk memberantas ancaman online dan memfilter serangan SQL injection. Tools ini adalah gerbang yang akan melakukan deteksi awal jika ada input yang mencurigakan. Kemudian, developer harus melakukan cross checking apakah data IP yang digunakan sama. Jika dirasa membahayakan, IP tersebut dapat diblokir untuk mencegah hal yang tidak diinginkan.
Baca juga : Catat! Ini 3 Keuntungan Belajar SQL dalam Mengolah Data
SQL adalah database yang sering digunakan untuk menampung data dalam jumlah besar. Database ini juga bisa disambungkan dengan berbagai tools. Ingin memperdalam skill SQL? Yuk belajar dengan live code editor yang ada di dalam modul DQLab!
Dengan live code editor dari DQLab, kita tidak perlu membuka SQL tambahan karena kita bisa menulis script code-nya secara langsung di environment modul DQLab. Klik button di bawah ini atau sign up melalui DQLab.id untuk mengakses FREE MODULE ‘Introduction to Data Science’ dan coba experience menarik menulis script code bahasa pemrograman dengan live code editor dari DQLab.
Penulis: Galuh Nurvinda K