Kerentanan SQL Injection Membocorkan Data 62.000 Pengguna Stalkerware dalam Teks Biasa

Tim Komunitas BigGo
Kerentanan SQL Injection Membocorkan Data 62.000 Pengguna Stalkerware dalam Teks Biasa

Seorang peneliti keamanan telah menemukan kerentanan SQL injection kritis di Catwatchful, sebuah layanan stalkerware yang memungkinkan pengawasan lengkap terhadap perangkat Android. Pelanggaran tersebut membocorkan kredensial login untuk sekitar 62.000 pengguna, semuanya disimpan dalam teks biasa tanpa perlindungan enkripsi apapun.

Detail Teknis:

  • Jenis Kerentanan: SQL Injection (baik time-based blind maupun UNION query)
  • Database: MySQL dengan 62.650 entri pengguna
  • Data yang Terekspos: ID Pengguna, Firebase UIDs, kata sandi dalam teks biasa
  • Tool yang Digunakan: sqlmap untuk eksploitasi otomatis
  • Infrastruktur: Firebase untuk penyimpanan file, backend PHP khusus untuk manajemen pengguna

Kekuatan Alat Hacking Modern

Penemuan ini menyoroti betapa canggihnya alat keamanan otomatis saat ini. Menggunakan sqlmap, sebuah alat pengujian penetrasi yang populer, peneliti tersebut mampu mengidentifikasi dan mengeksploitasi kerentanan dengan upaya minimal. Komunitas menyatakan terkejut dengan seberapa efektif alat-alat ini, dengan banyak yang mencatat bahwa Anda hanya perlu memberikan URL dan perangkat lunak secara otomatis mengetahui cara mengekstrak konten database jika kerentanan ada.

Ini merepresentasikan perubahan signifikan dari masa-masa awal ketika serangan SQL injection memerlukan pekerjaan manual yang ekstensif. Otomatisasi proses-proses ini berarti bahwa bahkan kelemahan keamanan dasar dapat dieksploitasi dengan cepat dan menyeluruh oleh peneliti keamanan maupun aktor jahat.

Titik Buta Keamanan Developer

Insiden ini mengungkap pola yang meresahkan dalam pengembangan perangkat lunak di mana programmer yang terampil secara teknis menciptakan aplikasi canggih tetapi membuat kesalahan keamanan fundamental. Meskipun membangun platform stalkerware kompleks dengan fitur-fitur canggih seperti pengambilan foto real-time dan operasi tersembunyi, para developer menyimpan kata sandi pengguna dalam teks biasa dan gagal membersihkan input database dengan benar.

Ketidaksesuaian antara kemampuan teknis dan kesadaran keamanan ini tampaknya umum terjadi di komunitas pengembang. Banyak programmer berbakat yang hanya kurang pelatihan keamanan atau pola pikir untuk mempertimbangkan bagaimana sistem mereka mungkin diserang. Terburu-buru ke pasar sering kali menjadi prioritas daripada menerapkan langkah-langkah keamanan yang tepat.

Implikasi Hukum dan Etis

Keputusan peneliti untuk mendokumentasikan proses hacking secara publik telah memicu perdebatan tentang risiko hukum yang terlibat. Meskipun target jelas merupakan operasi stalkerware ilegal, akses tidak sah ke sistem komputer tetap merupakan kejahatan di sebagian besar yurisdiksi. Beberapa anggota komunitas khawatir tentang potensi pembalasan hukum, meskipun yang lain berpendapat bahwa operator layanan ilegal tidak mungkin mengejar tindakan hukum yang akan menarik perhatian pada aktivitas mereka.

Kasus ini juga menimbulkan pertanyaan tentang pengungkapan yang bertanggung jawab ketika berhadapan dengan layanan yang jelas-jelas jahat. Hacking white-hat tradisional melibatkan pemberitahuan perusahaan secara pribadi sebelum pengungkapan publik, tetapi pendekatan ini menjadi rumit ketika layanan itu sendiri memfasilitasi pengawasan dan stalking ilegal.

Kronologi Serangan:

  • 2025-06-09: Kerentanan ditemukan
  • 2025-06-23: Google dihubungi, flag Safe Browsing ditambahkan
  • 2025-06-25: Penyedia hosting dihubungi, layanan sementara tidak aktif
  • 2025-06-26: Layanan dipulihkan dengan kerentanan yang sudah diperbaiki
  • 2025-07-02: Pengungkapan publik

Masalah Stalkerware yang Lebih Luas

Pelanggaran ini hanya merepresentasikan satu contoh dari industri stalkerware yang berkembang yang beroperasi di area abu-abu hukum. Aplikasi-aplikasi ini dipasarkan untuk tujuan yang sah seperti pemantauan orang tua tetapi sering digunakan untuk kekerasan dalam rumah tangga dan stalking. Sifat canggih stalkerware modern, dikombinasikan dengan praktik keamanan yang buruk oleh developer, menciptakan risiko signifikan bagi korban maupun pengguna.

Insiden ini menunjukkan bagaimana bahkan layanan ilegal bergantung pada infrastruktur cloud mainstream, dengan operasi khusus ini menggunakan platform Firebase milik Google untuk penyimpanan data. Ketergantungan pada layanan yang sah ini menyediakan titik intervensi potensial untuk penegak hukum dan penyedia platform.

Paparan 62.000 akun pengguna berfungsi sebagai pengingat bahwa mereka yang terlibat dalam aktivitas pengawasan sendiri rentan terhadap aktivitas mereka yang terekspos. Dalam kasus ini, pemburu menjadi yang diburu melalui kelemahan keamanan yang sederhana namun menghancurkan.

Referensi: Taking over 60k spyware user accounts with SQL injection