Thursday, 14 June 2007 6:59 am
Friendster dan privasi
Agung Nugroho - Agung "Raxephonix" Blog
Friendster (FS) merupakan salah satu situs yang menerapkan konsep social networking, dimana anda satu sama lain dapat berinteraksi langsung, baik dengan mengomentari, upload photo, testimonial, blog, dan berbagai fasilitas lain yang mendukung konsep social networking itu sendiri.
Berkembangnya situs ini, membuat si pengguna (penikmat FS) kehilangan privatisasi-nya. Salah satunya adalah mudahnya mendapatkan email dan password dari situs tersebut.
Studi Kasus :
Berikut adalah hasil sniffing saya terhadap situs FS.
[Gambar 1. Sniffing dengan ethereal]
Dari gambar tersebut saya mendapatkan email FS dan password. Kedua field ini tidak terenkripsi dan situs ini langsung memproses email dan password tersebut dalam bentuk plaintext (text biasa). Jadi situs tersebut akan memberikan ijin untuk masuk kepada pengguna, jika email dan password sama dengan yang ada pada database mereka.
Misalkan :
Anda memasukkan email = agung@agung.getux.com dan password = agung. Nah.. yang diproses oleh FS saat ini adalah email dan password tersebut.
[Gambar 2. email dan password FS yang berhasil didapatkan]
Namun jika di enkrip maka email dan password bisa menjadi angka atau hurup acak seperti email = $%/!(/)SAS)&DADA?? dan password = $%Tz$&D&A%&A&D (user dan password yang penulis jelaskan hanya contoh, karena jika dijelaskan terlalu teknis anda akan sulit memahami).
Jika email dan password tersebut terenkrip, maka akan sulit bagi “orang yang tidak bertanggung jawab” untuk mendapatkan email dan password anda. Hal ini sepertinya di lupakan oleh manajemen FS.
Saran :
Penggunaan FS telah menjadi Lifestyle tersendiri, jadi saya juga tidak bisa melarang anda untuk menggunakan FS. Tapi ada sedikit saran untuk anda :
- Bedakan password anda, bedakan password untuk publik (FS, Forum) dan email atau hal2 lain yang menyangkut privasi anda. Gunakan software manajemen password, jika anda orang yang pelupa.
- Kurangi sedikit aktivitas FS anda, jika memungkinkan gunakan fasilitas Notification yang nantinya dikirimkan via email. Jadi anda hanya perlu membuka email anda untuk mengetahui aktivitas FS, seperti Ultah teman anda, testimonial, pesan, dsb.
- Jangan lupa untuk logout setiap anda menyelesaikan aktivitas.
- Bersihkan cookies anda, setiap kali selesai browsing. Artikel teman saya hari mungkin bisa membantu anda.
- Jika anda berada dalam area cafe, mall, atau tempat2 yang menyediakan akses internet gratis (hotspot), amati sekeliling anda, apakah ada orang2 mencurigakan ??
- Kl anda serius menanggapi masalah privacy ini, mungkin bisa mengirim email via suggestions@friendster.com (saya juga bingung kl klaim user harus menghubungi kemana ??) :
[Gambar 3. Notification email FS ]
Ini contoh email dari saya :
Dear Friendster management,
We have found vulnerabilities of your site. We can sniff email and password from ur site. This vulnerabilities because of your site only use plaintext for user authentication. Please fix this vulnerabilities.
Regards,
User Friendster
Terakhir, saya sendiri masih kurang yakin apakah keluhan tersebut akan ditanggapi atau tidak. Tapi setidaknya kita sudah berusaha mengingatkan.
Dan bukan hanya saya yang telah membuktikan hal ini, mas Dedy, harry, dan mungkin teman2 yang lain juga sudah menemukan celah ini jauh sebelum saya.
- Add this post to
- Del.icio.us -
- Digg
Comment by Nisa
Thursday, 14 June 2007 8:07 pm
iya.. aku kenal dengan seseorang yang memberitahuku bahwa dia bisa mengambil password fs yang hasilnya txt itu..
dia ngedirect page profilenya sendiri ke halaman yang dia rancang khusus sama persis kayak halaman login.. *urlnya masih friendster.com/login.php sehingga seolah-olah fs menyuruh dia untuk login ulang.. padahal ketika dia mencoba login ulang, setelah dia pencet submit, dia gak bakal sign in.. tetep aja di suruh log in lagi :p
tapi hal ini diketahui sama pejabat fs, dan acc dia disuspen 
makasih ya infonya 
*rubah password ah..
Comment by Yuda
Friday, 15 June 2007 12:52 am
Dulu sempat ada login secure (https) tapi kenapa sekarang jadi ilang yah ???
Comment by fathirhamdi
Friday, 15 June 2007 1:20 am
Bisa juga.. solusinya dengan rutin mengganti password-nya..
jangan lupa.. stock password-nya yang banyak… jadi kemungkinan balik ke pasword semula sangat kecil
Comment by aVank
Friday, 15 June 2007 2:04 am
mantab niko!!!!
bagi donk pass email yg ketangkep
hehehe
Comment by zam
Friday, 15 June 2007 2:41 am
dab, piye carane agar username dan password kita bias terkenkrip?
apakah itu hanya bisa dilakukan di sisi server aja (pake koneksi secure macam https) atau bisa kita lakuin dari sisi client jg? caranya?
thanks for de info
Comment by raxephonix
Friday, 15 June 2007 6:32 am
# 2
udah ga da lagi sekarang
# 3
waduh repot… harusnya tinggal FS aj yang pake md5
# 4
he..he.. coba aj ndiri bro
# 5
pake software wireshark.. dulunya bernama ethereal.. aplikasi ini ada di Window$ dan Linux
Comment by gita
Friday, 15 June 2007 6:39 am
wedew bru sja FS saya dibobol orrang jugah…
Comment by aribowo
Friday, 15 June 2007 6:53 am
udah 3 tahun ini aku gak buka account aku di FS, kira kira ada yang bisa buka gak yach?
Comment by Nona Nieke,,
Friday, 15 June 2007 9:43 am
wah mas..
ilmu jago banged yak..
saya juga termasuk org yg pelupa sama password nih..
hiks 
Comment by Ai
Friday, 15 June 2007 1:34 pm
wuiz..mas agung..gape banget deh soal beginian..
salut euy…
skali lagi…makasih banyak infonya… ^^v
Comment by Aya_
Friday, 15 June 2007 2:16 pm
Ooow gitu, pantesan pernah ada yg masuk ke acc FS-ku ngasih komen padahal tuh orang gak ada dlm friend listku. Heran juga kok bisa ya padahal saat itu profileku FS ku udah aku restricted hanya untuk friend aja. Anyway maksih ya gung infonya, highly appreciated^_^
Comment by aad
Saturday, 16 June 2007 8:43 am
nek aku jarang sih masuk FS
Comment by Visien
Sunday, 17 June 2007 5:47 am
iya2, yg biasanya mbuka emeil orang : gini dulu nih caranya..
hehe thx for the info, password fs gw beda dari yang laen kog untungnya, hehehe
Comment by nadhin
Sunday, 17 June 2007 7:32 am
hehehehe ku….
gx punya fs….
gabteg ci….:D
lam knal yach…:)
visit my blog:)
Comment by mysyam
Sunday, 17 June 2007 10:54 am
*nginstall ethereal dulu ah… ;))*
hehehe… 
# 6:
maksudnya zam itu, apakah bisa kita enkrip uname ma passwd kita dari client? ato cmn dari server aja?
Comment by diditjogja
Monday, 18 June 2007 8:02 am
……………
……………
……………..
gak ngerti………
……………..
………….
………
wong gak punya FS
Comment by andini
Monday, 18 June 2007 8:37 am
hehehe.. account fs ku juga pernah dibobol..
sempet salah nuduh orang n perang dunia ketiga.
tp akhirnya pengumuman bhw account fs ku sekarang cuman buat iseng2.. temen2 harap ke blog saja.. minimal ke email deh..
Comment by bebek
Monday, 18 June 2007 3:57 pm
bener tuh… banyak account FS yang diubah sama orang2 yang iseng…
mestinya pengembang dan manajemen FS lebih baek dalam hal managemen situs mereka.. *sigh*
Comment by raxephonix
Tuesday, 19 June 2007 9:14 am
# gita, aya, andini
nah.. jangan sembarangan ninggal password yah..
# ariwibowo
waduh.. bukanya ada fasilitas forgot password ??
# aad, nadin, didit
yak..beruntunglah anda yang tidak menikmati FS
# nieke, ai
makasih.. sama-sama pelupa donk niek..
# mysyam
harus ada server yang support.. misalkan https
# bebek
waduw… susah bek.. ngasih ke bagian manajemen juga respon bakalan lama. syukur kl di tanggapi, kl ga :((
Comment by galih
Wednesday, 20 June 2007 2:02 am
Waah, mas agung, terima kasih infonya. friendster ternyata bisa dicolong ya passwutnya? waah… musti ganti paswut nih
Comment by Fany
Wednesday, 20 June 2007 3:33 pm
untung pswd FS ku aku bedain sama pswd2 laen…
Comment by -tikabanget-
Wednesday, 20 June 2007 5:45 pm
huehehhee…
waduh, sayah itu sebenernya ndak suka maen friendster..
lebih suka maen DOTA..
tapi kok ya banyak yang maen friendster juga gituh..
saya jadi ikut2an suka deh.
Comment by nayz
Friday, 22 June 2007 4:19 am
wah…gawat .
Comment by reitakun
Monday, 25 June 2007 8:19 am
Mo bobol juga ga masalah… bikin yang baru dong… ahak…
Comment by dayat
Friday, 31 August 2007 4:10 am
mas,,,
gni neh,,, tmn gw kan punya FS,,, trs dia punya mslh dgn salah stu tmn nya,,,,!!
nah,,, tmn nya ntu nge bajak FS tmn gw tu,,!!
password dan e-mail nya smw nya di ganti,,,!!
jd tmn gw gak bisa login,,!!
gmna cr nya mas,, supya gw bisa ngambil alih lagi tuh FS,,,???
bls ya mas ke e-mail gw,,, plis,,,!!!!!
Comment by uchie
Friday, 7 March 2008 9:30 pm
saya minta tolong,saya punya FS email saya uchie_cho@yahoo.com
saya lupa sama paswordnya,seminggu yg lalu saya abiz update FS.mohon dengan sangat bantuannya?terimakasih
