Heartbleed: Survei di kalangan startup Jerman

Bencana internet atau tidak terlalu buruk? Setiap hari, jutaan pengguna mengandalkan keamanan data mereka saat memasukkan kata sandi – bahkan dengan produk startup Jerman. Semuanya dienkripsi, nomor kartu kredit dan detail akun aman. Atau? Fakta bahwa NSA mendengarkan semuanya sudah cukup buruk. Namun, Heartbleed, lubang keamanan yang baru-baru ini ditemukan dalam perangkat lunak enkripsi sumber terbuka OpenSSL, secara teoritis dapat dieksploitasi oleh peretas pintar mana pun yang menyadarinya dalam dua tahun terakhir. Dan benar-benar tanpa disadari.

Apa yang dicari perusahaan online
Perdarahan jantung harus dipertimbangkan

Layanan seperti Yahoo atau Google, Facebook atau Dropbox, Tumblr atau Web.de terkena dampak kesenjangan ini. Hal bodohnya: Tidak ada yang tahu data apa yang dicuri dari server mana melalui kerentanan Heartbleed. Dan itu mungkin tidak akan pernah ketahuan. Kami bertanya kepada startup yang menangani data pelanggan sensitif: Seberapa besar dampak yang ditimbulkan oleh Heartbleed? Seberapa serius kesenjangannya? Dan bagaimana Anda mengatasi masalah tersebut – baik secara teknis maupun dengan pelanggan?

Kolaborasi: Georg Räth

Affinitas, perusahaan pengelola biro kencan eDarling:

Kerentanan Heartbleed saat ini disebut di media sebagai “bencana internet”. Bagaimana Anda mengomunikasikan masalah tersebut kepada pelanggan?

Penting bagi layanan yang terkena dampak untuk memberi tahu pelanggan mereka tentang arti spesifik atau apa arti kecelakaan ini dalam kaitannya dengan layanan masing-masing. Masalah khusus dengan “kerusakan” ini adalah kami mengetahui adanya kemungkinan pencurian data. Namun, belum ada yang bisa menjelaskan secara pasti apakah pencurian data telah terjadi.

Apakah data pelanggan Anda dicuri?

Kami yakin kecil kemungkinan kami berhasil melakukan pencurian data, karena kami tidak memiliki bukti apa pun mengenai hal ini. Namun sayangnya, tidak ada cara untuk menjawab pertanyaan ini dengan pasti.

Bagaimana Anda bisa mengetahuinya?

Sepengetahuan kami, saat ini belum ada cara untuk menjawab pertanyaan ini dengan pasti.

Bagaimana Anda mengatasi masalah dari sudut pandang teknis?

Seperti banyak vendor lainnya, kami melakukan patch pada pustaka OpenSSL segera setelah dirilis. Ini menutup kesenjangan keamanan bagi penyerang baru. Pada langkah kedua, sertifikat ditukar untuk mengecualikan pencuri data yang mungkin telah mengeksploitasi celah keamanan. Pada langkah ketiga, pelanggan kemudian diminta mengubah kata sandinya.

Profil pelanggan yang selengkap mungkin menjadi penting karena banyak informasi yang dapat diperoleh darinya. Ketika pencurian data menjadi lebih umum, apakah pelanggan menjadi lebih pelit dengan data pribadi? Mungkin mereka malah semakin enggan mencoba layanan yang benar-benar baru?

Sayangnya, hal terakhir ini harus diterima. Namun, Heartbleed hanyalah bagian dari serangkaian peristiwa menyedihkan: urusan NSA dan berita jutaan akun email diretas, yang diberitakan di media untuk kedua kalinya tahun ini, juga menggoyahkan kepercayaan kita semua. Hal ini berdampak buruk bagi keseluruhan situasi di Berlin – solusi privasi seperti ZenMate tidak mungkin dilakukan.

Kreditech, penilai kredit dan startup data besar

Kerentanan Heartbleed saat ini disebut di media sebagai “bencana internet”. Bagaimana Anda mengomunikasikan masalah tersebut kepada pelanggan?

Heartbleed mulai dikenal masyarakat umum beberapa hari lalu. Mengingat banyaknya layanan dan situs web yang terkena dampaknya, kita dapat berbicara tentang bencana internet. Namun pada pandangan pertama, sulit untuk memahami bahaya dan masalah sebenarnya: apa sebenarnya lubang keamanan “Heartbleed” itu. Oleh karena itu, komunikasi sederhana dan langsung dengan pelanggan sangatlah bermanfaat. Jika perlu, bahkan melalui panggilan telepon pribadi dengan layanan pelanggan dan melalui situs web khusus negara kami.

Apakah data pelanggan Anda dicuri?

Tidak, tidak ada data pelanggan yang dicuri dari kami. Di satu sisi, ini karena kami tidak menyimpan data pelanggan, tetapi hanya mengevaluasinya satu kali untuk dinilai. Data tersebut kemudian dianonimkan dan dihapus lagi. Hal ini sudah terjadi sebelum Heartbleed menjadi terkenal. Hal ini juga berlaku di semua negara tempat kami beroperasi. Karena kami, sebagai layanan yang berbasis di Jerman, tunduk pada Perjanjian Safe Harbor, kami selalu diwajibkan untuk sepenuhnya menerapkan pedoman perlindungan data Jerman untuk layanan kami di luar negeri.

Di sisi lain, sebagai layanan keuangan online, kami harus menawarkan standar keamanan server dan layanan yang tinggi kepada klien kami. Pengembang kami menghabiskan banyak sumber daya untuk hal ini. Bukan hanya terkait kasus yang ada saat ini.

Bagaimana Anda bisa mengetahuinya?

Tim Administrasi Sistem kami menganalisis dan memantau semua aktivitas server terkini dan tidak mendeteksi adanya kehilangan data atau aktivitas yang tidak diinginkan. Untuk kasus Heartbleed saat ini, terdapat dua halaman sebagai tes cepat yang memungkinkan pengguna memeriksa layanan terkait Heartbleed: http://filippo.io/Heartbleed/ Dan https://sslcheck.globalsign.com/de

Bagaimana Anda mengatasi masalah dari sudut pandang teknis?

Antara lain, kami menggunakan layanan cloud untuk berbagai proses yang kami kerjakan erat saat Heartbleed menjadi terkenal. Responsnya sangat cepat dan dalam waktu singkat patch keamanan yang sesuai diluncurkan ke semua server sebagai tindakan pencegahan. Setelah itu, pemeriksaan keamanan komprehensif lainnya dilakukan untuk berjaga-jaga.

Profil pelanggan yang selengkap mungkin menjadi penting karena banyak informasi yang dapat diperoleh darinya. Ketika pencurian data menjadi lebih umum, apakah pelanggan menjadi lebih pelit dengan data pribadi? Mungkin mereka malah semakin enggan mencoba layanan yang benar-benar baru?

Yang terjadi justru sebaliknya. Tentunya dari awal kami selalu bertanya pada diri sendiri berapa sebenarnya data yang bersedia diberikan nasabah untuk pinjaman online. Telah ditunjukkan sejak awal bahwa pengguna secara sadar memutuskan apa yang mereka ungkapkan kepada siapa. Transparansi layanan memainkan peran besar. Faktanya, pelanggan cukup bersedia mengungkapkan data tentang dirinya jika mereka mengetahui apa dan bagaimana data tersebut akan digunakan. Anda harus selalu membedakan antara data pribadi seperti alamat, nama, nomor telepon dan data anonim seperti lokasi IP, penyedia internet, browser atau perilaku berselancar. Yang terakhir ini tidak terkait langsung dengan seseorang, namun dapat dimasukkan dalam penilaian bersama dengan beberapa ribu poin data lainnya.

Seedmatch, platform crowdfunding startup

Kerentanan Heartbleed saat ini disebut di media sebagai “bencana internet”. Bagaimana Anda mengomunikasikan masalah tersebut kepada pelanggan?

Kerentanan memang merupakan masalah serius bagi sistem yang terkena dampak, terutama karena kerentanan tersebut sudah ada selama bertahun-tahun. Pada prinsipnya, hal ini disambut baik karena masalah keamanan seperti ini semakin banyak diketahui oleh pengguna internet “normal” dan adanya diskusi serta kesadaran mengenai masalah ini di masyarakat.

Ketika Anda menyadari adanya celah keamanan seperti itu, hal pertama yang harus Anda lakukan adalah segera memeriksa apakah sistem Anda terpengaruh. Jika ini masalahnya, Anda harus memperbaiki masalahnya sesegera mungkin dan kedua, secara proaktif memberi tahu pengguna Anda tentang latar belakang, sebaiknya melalui email. Dalam kasus Heartbleed, penyedia yang terkena dampak harus mendorong penggunanya untuk mengubah kata sandi mereka setelah perbaikan. Sistem kami tidak terpengaruh oleh celah keamanan, jadi tidak ada risiko bagi pengguna kami. Namun, karena topik ini sedang dibahas di media, tentu saja pengguna akan merasa tidak nyaman. Kami mengatasi hal ini dengan pernyataan tepat waktu di blog kami dan juga menangani pengguna kami melalui media sosial.

Apakah data pelanggan Anda dicuri?

Dalam waktu singkat. Versi OpenSSL yang kami gunakan tidak terpengaruh.

Bagaimana Anda bisa mengetahuinya?

Karena masalahnya ada di tingkat server, personel TI perlu memeriksa perangkat lunak yang diinstal di server.

Celah keamanan terjadi jika versi OpenSSL yang digunakan memiliki versi perangkat lunak 1.0.1 hingga 1.0.1f dan dikompilasi dengan flag HEARTBEAT. Karena kami menggunakan versi yang berbeda, sistem kami tidak terpengaruh oleh hal ini.

Bagaimana Anda mengatasi masalah dari sudut pandang teknis?

Pendekatan tiga langkah sesuai di sini:

1. Pertama, Anda perlu menentukan apakah Anda terpengaruh oleh kesalahan tersebut. Contoh: Server Windows dengan IIS tidak terpengaruh masalah ini karena tidak menggunakan OpenSSL.

2. Jika bug ini ada, versi OpenSSL yang terpengaruh harus diganti (versi 1.0.1g memperbaiki bug) atau setidaknya versi dengan flag build -DOPENSSL_NO_HEARTBEATS harus digunakan.

3. Terakhir, sertifikat harus ditukar.

Profil pelanggan yang selengkap mungkin menjadi penting karena banyak informasi yang dapat diperoleh darinya. Ketika pencurian data menjadi lebih umum, apakah pelanggan menjadi lebih pelit dengan data pribadi? Mungkin mereka malah semakin enggan mencoba layanan yang benar-benar baru?

Pada dasarnya, kami juga mendapat kesan bahwa masyarakat menjadi lebih berhati-hati dan semakin mempertanyakan alasan penyedia mengumpulkan informasi tertentu. Kami hanya bisa berspekulasi mengenai alasannya. Hal ini mungkin ada hubungannya dengan pencurian data yang semakin meluas ke publik. Selain itu, sangat mungkin bahwa skandal NSA telah meningkatkan kesadaran akan keamanan data secara mendasar – termasuk cakupan dan detail data digital pribadi kita, yang sudah dimiliki oleh penyedia layanan seperti Google atau Apple. Laporan tentang bagaimana data pribadi sering kali diteruskan tanpa perintah pengadilan dan tanpa sepengetahuan orang yang bersangkutan oleh beberapa penyedia pasti akan membuat banyak pengguna lebih mengetahui data mana yang mereka sediakan untuk layanan mana.