Telko.id – Sebuah kerentanan pada API WhatsApp memungkinkan peneliti melakukan scraping terhadap 3,5 miliar akun aktif platform pesan instan tersebut.
Celah keamanan ini terletak pada contact-discovery API yang tidak memiliki batasan rate limiting, memungkinkan akses tidak terbatas untuk mengumpulkan data pengguna.
Menurut Takanori Nishiyama, SVP APAC & Japan Country Manager di Keeper Security, penelitian terhadap API WhatsApp ini menunjukkan bagaimana kenyamanan platform dapat dengan cepat berubah menjadi risiko privasi dan serangan berskala besar.
“Dalam mengidentifikasi 3,5 miliar akun WhatsApp aktif dengan menyalahgunakan API tanpa batasan rate, peneliti mampu mengeksploitasi kemampuan yang menghasilkan nomor telepon, foto profil, teks ‘tentang’ dan metadata perangkat,” ujarnya.
Risiko ini menjadi sangat signifikan mengingat lebih dari sembilan dari sepuluh orang di pasar seperti Malaysia dan Indonesia bergantung pada WhatsApp setiap hari.
Sebuah kerentanan tunggal seperti ini dapat menyebar ke seluruh wilayah. Fenomena ini mengingatkan pada kasus kerentanan iMessage yang juga sempat menjadi perhatian publik.
Baca Juga:
Nishiyama menekankan bahwa pengguna akhir perlu memperlakukan akun WhatsApp mereka seperti akun online sensitif lainnya. Ini berarti mengaktifkan verifikasi dua langkah dan menambahkan email pemulihan untuk menghentikan pengambilalihan akun melalui kode SMS.
Pengguna juga harus memanfaatkan sepenuhnya pengaturan privasi yang tersedia dengan membatasi foto profil dan informasi tentang mereka hanya untuk “Kontak saya”.
Para profesional cybersecurity perlu memandang API sebagai titik lemah yang berpotensi signifikan. API dirancang untuk skalabilitas dan otomatisasi – properti yang sama yang biasa dieksploitasi oleh pelaku kejahatan siber.
Pengungkapan kerentanan yang bertanggung jawab dan perbaikan tepat waktu membantu, tetapi perbaikan tingkat platform harus dipasangkan dengan deteksi ancaman dan pemblokiran anomali untuk mencegah pengumpulan massal yang berhasil.
Organisasi tidak boleh menganggap enkripsi end-to-end sebagai jaminan keamanan regulasi. Mereka harus membuat kebijakan bring-your-own-device dan pesan instan yang jelas yang mendefinisikan penggunaan yang diizinkan, terutama ketika melibatkan data yang diatur atau komunikasi klien.
Penerapan kontrol manajemen mobilitas perusahaan, pencegahan kehilangan data, dan pesan aman yang disetujui perusahaan untuk komunikasi resmi juga sangat disarankan.
Pentingnya keamanan berlapis ini juga diimplementasikan dalam berbagai solusi teknologi, seperti yang dilakukan neuCentrIX Banda Aceh dan perangkat Lenovo yang mengedepankan proteksi multi-level.
Organisasi juga perlu memprioritaskan rencana untuk penahanan. Bahkan jika terjadi kompromi terkait pesan, manajemen akses istimewa yang kuat dan kontrol zero-trust dapat secara drastis meminimalkan radius ledakan.
Memberlakukan akses least-privilege, memutar kredensial, memverifikasi setiap pengguna dan perangkat, serta memisahkan jalur akses memastikan bahwa akun yang dikompromikan atau data kontak yang dikumpulkan tidak dapat digunakan sebagai pivot ke sistem bernilai tinggi.
WhatsApp tetap sangat luas di seluruh APAC, sehingga ancaman di sini bukanlah hipotetis – skala paparan berarti baik kebersihan individu maupun kontrol organisasi harus diperlakukan sebagai inti risiko cyber, bukan kenyamanan opsional.
Pengguna harus menghindari menghubungkan nomor WhatsApp mereka secara publik ke profil publik lainnya dan sangat waspada terhadap pesan tidak diminta yang meminta kode atau pembayaran mendesak. (Icha)
