Google Workspace meluncurkan langkah keamanan baru untuk membantu mencegah jenis serangan pengambilalihan akun yang sama yang berdampak pada Linus Tech Tips. Fitur ini, yang diluncurkan dalam versi beta untuk pengguna Chrome di Windows, dirancang untuk mencegah pelaku kejahatan mencuri cookie yang membuat anda tetap masuk ke akun Workspace anda dari jarak jauh.
Google menyebut fitur Device Bound Session Credentials (DBSC) dan fitur ini berfungsi persis seperti namanya: fitur ini melindungi akun Workspace pengguna dengan mengikat cookie sesi, yaitu file sementara yang digunakan website untuk mengingat informasi pengguna, ke perangkat mereka.
Hal ini mempersulit penyerang untuk melakukan serangan pencurian token sesi, yang sering terjadi saat korban mendownload malware pencuri informasi. Dari sana, pelaku kejahatan dapat mengambil kredensial login korban ke server jarak jauh, sehingga mereka dapat masuk ke akun mereka dari perangkat lain atau menjual kredensial mereka.
“Karena pencurian ini terjadi setelah pengguna masuk, pencurian ini melewati banyak perlindungan akun yang ada seperti 2FA [otentikasi dua faktor],” kata juru bicara Google Ross Richendrfer kepada The Verge. "Perlindungan yang ada untuk jenis serangan ini belum terlalu matang, sehingga mudah bagi penyerang untuk memanfaatkannya."
Pada tahun 2023, seorang pelaku kejahatan mengambil alih kanal YouTube Linus Tech Tips, bersama dengan dua akun Linus Media Group lainnya, setelah seorang karyawan mendownload file penawaran sponsor palsu yang berisi malware pencurian cookie. Minggu ini, YouTube mengeluarkan peringatan tentang penipuan serupa yang melibatkan kreator yang mendownload penawaran merek palsu. YouTube juga bukan satu-satunya platform yang terdampak pencurian cookie, karena peretas membajak beberapa ekstensi Chrome tahun lalu, menambahkan malware yang mencuri token sesi untuk beberapa website.
Google mengatakan ada peningkatan eksponensial dalam pencurian cookie dan token autentikasi selama beberapa tahun terakhir, dan tren ini semakin meningkat pada tahun 2025. Perusahaan ini mulai mengerjakan DBSC tahun lalu, dan mengatakan platform verifikasi Okta, serta browser seperti Microsoft Edge, telah menyatakan minat pada konsep tersebut. Bersamaan dengan DBSC, Google merekomendasikan agar administrator Workspace juga mengaktifkan passkey yang kini tersedia untuk lebih dari 11 juta pelanggan.
0 Comments
