Kamu sudah pakai password kuat, tidak pernah pakai password yang sama, dan aktifkan otentikasi dua faktor? Tetap saja, data pribadimu bisa jadi incaran. Kok bisa?
Ternyata, ada celah keamanan di situs web yang sering kita pakai. Situs-situs ini menyimpan data sensitif seperti password dalam bentuk teks biasa.
Peneliti dari University of Wisconsin-Madison menemukan banyak ekstensi browser bisa mengakses informasi penting yang kamu ketik di website. Misalnya, password, info kartu kredit, dan nomor KTP.
Awalnya, mereka iseng utak-atik halaman login Google. Eh, ternyata kode HTML situs tersebut bisa melihat password yang mereka ketik dalam bentuk teks biasa!
Mereka lalu meneliti lebih dari 7.000 website. Hasilnya, sekitar 15% menyimpan informasi sensitif dalam bentuk teks biasa. Artinya, lebih dari 1.000 website membahayakan datamu.
Seharusnya, website tidak boleh melihat passwordmu sama sekali. Mereka seharusnya menggunakan algoritma hashing untuk mengacak passwordmu jadi kode.
Dengan menyimpan data dalam bentuk teks biasa, website membuka peluang bagi siapa saja yang tahu cara mengaksesnya, termasuk ekstensi browser.
Peneliti mengklaim ada 17.300 ekstensi Chrome (12,5% dari total) punya izin untuk melihat data teks biasa ini. Ingat izin yang sering kamu abaikan saat install ekstensi? Izin yang memberi mereka akses penuh untuk melihat dan mengubah apa yang kamu ketik.
Peneliti tidak menyebut nama ekstensi mana pun. Tapi, ada kemungkinan ekstensi yang kamu pakai bisa mengakses informasi sensitifmu.
Yang lebih bahaya, ada risiko developer membuat ekstensi khusus untuk mencuri data sensitif. Peneliti bahkan berhasil membuat ekstensi seperti itu dan lolos verifikasi di Chrome Web Store.
Meskipun sudah dihapus, ini membuktikan hacker bisa memasukkan ekstensi berbahaya ke toko resmi. Mereka juga bisa membeli ekstensi populer dan menambahkan kode jahat.
Sayangnya, kamu tidak bisa mencegah website menyimpan datamu dalam bentuk teks biasa. Kita hanya bisa berharap mereka memperbaiki keamanan mereka.
Tapi, ada beberapa langkah yang bisa kamu lakukan. Batasi penggunaan ekstensi, hanya pakai yang benar-benar kamu percaya, dan sering-sering cek update. Nonaktifkan ekstensi saat memasukkan informasi sensitif. Kalau ada pilihan, gunakan passkey atau sistem pembayaran yang aman. Intinya, hindari mengetik data sensitif kecuali benar-benar perlu.
