Keamanan sulit. Sistem komputer menjadi lebih kompleks dari hari ke hari dan perangkat lunak memakan dunia, membuat tugas menjaga peretas semakin sulit.
Namun, terkadang, perusahaan membuatnya terlalu mudah bagi orang jahat dengan mengabaikan praktik terbaik keamanan yang paling mendasar dan diterima secara universal. Pelakunya hari ini: T-Mobile Austria.
Perusahaan mengakui di Twitter bahwa mereka menyimpan setidaknya sebagian dari kata sandi pelanggan mereka dalam teks biasa. Ini adalah besar tidak-tidak di zaman sekarang ini karena jika ada yang melanggar T-Mobile (dan perusahaan selalu dilanggar), mereka kemungkinan besar dapat menebak atau memaksa kata sandi setiap pengguna. Jika kata sandi sepenuhnya dienkripsi atau di-hash, itu tidak akan semudah itu. Tetapi memiliki sebagian kredensial dalam plaintext mengurangi kesulitan mendekode bagian yang di-hash dan mendapatkan seluruh kata sandi.
Baca lebih banyak: Panduan Motherboard Agar Tidak Diretas
“Berdasarkan apa yang kami ketahui tentang bagaimana orang memilih kata sandi mereka,” Per Thorsheim, pendiri konferensi pertama yang didedikasikan untuk kata sandi, mengatakan kepada saya melalui pesan langsung Twitter, “mengetahui 4 karakter pertama kata sandi Anda dapat membuatnya MATI MUDAH bagi penyerang untuk mengetahui sisanya.”
T-Mobile tidak melihatnya sebagai masalah karena memiliki 'keamanan yang sangat baik.'
Pada hari Kamis, seorang karyawan dukungan pelanggan T-Mobile Austria membuat wahyu yang menakjubkan dalam tweet yang sangat acuh tak acuh.
Pengguna Twitter Claudia Pellegrino dengan cepat menunjukkan bahwa menyimpan kata sandi dalam teks biasa itu salah, tetapi perwakilan pelanggan T-Mobile lainnya tidak melihatnya seperti itu.
“Saya benar-benar tidak mengerti mengapa ini menjadi masalah. Anda memiliki begitu banyak kata sandi untuk setiap aplikasi, untuk setiap akun email, dan seterusnya. Kami mengamankan semua data dengan sangat hati-hati, jadi tidak ada yang perlu ditakutkan,” kata perwakilan tersebut menulis kembali .
Pengguna Twitter lain menimpali dengan mengatakan, 'bagaimana jika infrastruktur Anda dilanggar dan kata sandi semua orang dipublikasikan dalam teks biasa ke seluruh dunia?'
Punya tip? Anda dapat menghubungi reporter ini dengan aman di Signal di +1 917 257 1382, obrolan OTR di lorenzo@jabber.ccc.de, atau email lorenzo@motherboard.tv
Itu benar-benar tidak mempengaruhi perwakilan T-Mobile, yang dengan angkuh menjawab: 'Bagaimana jika ini tidak terjadi karena keamanan kami luar biasa bagus?'
Seorang perwakilan T-Mobile Austria mengatakan bahwa 'ada kesalahpahaman di utas ini tentang bagaimana kami menyimpan dan apa yang ditampilkan untuk agen layanan pelanggan. Saya akan memeriksa dengan petugas keamanan kami dan menghubungi Anda kembali.' Namun tidak segera ditindaklanjuti.
Sulit untuk melebih-lebihkan betapa cerobohnya, pada tahun 2018, untuk tetap menyimpan kata sandi orang dalam teks biasa. Selama bertahun-tahun, miliaran kredensial orang telah hilang dalam pelanggaran data yang tak terhitung jumlahnya , dan semua orang di keamanan siber setuju bahwa perusahaan harus mengambil tindakan pencegahan sehingga jika terjadi pelanggaran data, kata sandi di-hash atau dienkripsi dan tidak disusupi.
Saya tidak dapat mengingat diri saya sendiri sejak hari-hari ketika CNBC mencoba mengajari orang tentang kata sandi dengan meminta mereka menyerahkannya dan mengirim kata sandi mereka melalui koneksi yang tidak aman.
Dapatkan enam cerita Motherboard favorit kami setiap hari dengan mendaftar untuk buletin kami.