• Beranda
  • Artikel
  • App
  • Pelanggaran Data Uber: Bagaimana mencegah aplikasi Anda dari insiden seperti ini

Pelanggaran Data Uber: Bagaimana mencegah aplikasi Anda dari insiden seperti ini

Diterbitkan: 2017-11-28

Pada tahun 2016, Uber kehilangan 57 Juta pengguna dan informasi pengemudi kepada peretas, yang kemudian mereka bayarkan $1.00.000 untuk menghapus data tersebut.

Insiden itu muncul beberapa hari yang lalu ketika CEO mereka Dara Khosrowshahi membuat posting yang menyoroti pelanggaran data . Dan sejak itu, kasus keamanan aplikasi menjadi fokus.

Uber bukan kasus pertama pelanggaran data, ada beberapa kali data pribadi pengguna telah disusupi: peristiwa yang membuat orang waspada menggunakan aplikasi seluler yang meminta informasi mereka.

Berikut adalah visual untuk menunjukkan sikap pengguna aplikasi seluler sehubungan dengan Masalah Keamanan Aplikasi –

Masalah Keamanan Aplikasi

Lihat betapa mengerikannya itu?

Namun, Anda dapat mencegah aplikasi Anda menjadi studi kasus berikutnya yang memperingatkan merek untuk mendapatkan game keamanan aplikasi mereka tepat sasaran.

Begini caranya –

1. Lindungi Aplikasi Anda dari Awal

Sejumlah kerentanan ada dalam kode sumber aplikasi, tetapi sebagian besar perusahaan aplikasi hanya fokus pada bagian jaringan sambil berfokus pada penerapan praktik terbaik keamanan aplikasi seluler . Ada begitu banyak tempat yang bisa menjadi dasar pelanggaran data – kesalahan pengkodean, pengujian kode, dll.

Berikut adalah hal-hal yang dapat Anda lakukan untuk melindungi aplikasi Anda dari hari keberadaannya –

  • Lindungi kode aplikasi Anda dengan enkripsi. Ada dua cara untuk melakukannya - minifikasi dan kebingungan, tetapi itu tidak cukup. Disarankan agar Anda tetap menggunakan algo yang didukung dengan baik yang digabungkan dengan enkripsi API.
  • Jalankan pemindaian kode sumber pada kode Anda, sering

Tanda kode aman adalah kode itu tetap aman bahkan setelah porting antara sistem operasi dan perangkat. Membuat kode tangkas sangat membantu dalam hal ini.

2. Amankan koneksi Jaringan dari Backend

panjang

Server cloud yang sedang diakses oleh API aplikasi Anda harus memiliki langkah-langkah keamanan yang tepat untuk mencegah akses yang tidak sah dan melindungi data pengguna. Verifikasi API harus dilakukan sedemikian rupa sehingga tidak ada informasi sensitif yang diteruskan dari klien ke database atau server aplikasi.

Untuk menyukseskan langkah ini, proses pengembangan backend Anda harus kuat .

Berikut cara mengamankan koneksi jaringan

  • Buat wadah terenkripsi untuk menyimpan dokumen dan data
  • Lakukan serangkaian penilaian kerentanan dan pengujian penetrasi jaringan Anda untuk memastikan bahwa data terlindungi.
  • Enkripsi database dan koneksi dengan SSL, VPN, dan TLS untuk keamanan tambahan
  • Terapkan Federasi – ukuran, yang menyebarkan sumber daya di seluruh server sehingga mereka semua tidak berada di satu tempat, sambil memisahkan sumber daya utama dari pengguna.

3. Memiliki Proses Otentikasi, Identifikasi, dan Otorisasi

Berikut cara membuat aplikasi Anda dikenali, diautentikasi, dan diotorisasi

  • Pastikan bahwa API yang digunakan aplikasi Anda hanya yang diperlukan untuk berfungsi dan hanya memberikan akses ke bagian yang menjadi fokus, bukan semua fungsi aplikasi.
  • Ada sejumlah alat dan protokol yang dapat Anda gunakan dan pastikan untuk diikuti saat aplikasi Anda dalam tahap pengembangan. Di sini mereka -
    • JSON Web Token – Alat ringan yang digunakan untuk mengenkripsi pertukaran data, implementasinya yang mudah membuatnya ideal untuk aplikasi seluler.
    • OpenID Connect – Ini adalah protokol yang memungkinkan pengguna untuk menggunakan kembali kredensial mereka di berbagai domain dengan bantuan token ID, untuk menghemat waktu mereka dalam mendaftar dan mendaftar dengan informasi yang sama setiap saat.
    • OAuth2 – Protokol digunakan untuk mengelola koneksi aman melalui token khusus pengguna satu kali. Setelah menginstal kerangka kerja di server otorisasi, Anda dapat memberikan izin kepada pengguna Anda antara pengguna akhir dan klien dengan mengumpulkan kredensial seperti pertanyaan SMS 2 faktor.

4. Lakukan serangkaian tes yang komprehensif

Tidak seperti aplikasi web, sebagian besar data aplikasi seluler disimpan secara lokal, dan dengan data yang ada di perangkat yang bandwidth, kinerja, dan kualitasnya bervariasi, risiko diretas jauh lebih besar.
 Selain faktor ketidakstabilan di perangkat, ada juga beberapa aplikasi yang cenderung merilis data tanpa diketahui pengguna, seperti jenis kelamin, usia, penggunaan perangkat, dll.

Cara Anda dapat memastikan data pelanggan aman di aplikasi –

  • Dengan bantuan enkripsi tingkat file, Anda dapat melindungi data berdasarkan file per file. Itu salah satu cara untuk mengenkripsi data diam agar tidak terbaca saat disadap.
  • Alat seperti platform Appcelator memastikan bahwa data seluler yang disimpan secara lokal aman.

Manajemen kunci harus menjadi prioritas Anda. Dasar dari algoritma yang kuat adalah sertifikat dan kunci yang sama kuatnya.

5. Strategi Keamanan API yang Direncanakan

Karena pengembangan seluler terkait erat dengan API, bagian utama dari membuat aplikasi aman bergantung pada membuat API-nya aman. API mengirimkan data antara aplikasi, cloud, dan di antara sejumlah pengguna. Semua pihak yang terlibat perlu diidentifikasi dan diberi wewenang untuk melihat dan menggunakan data. API adalah landasan fungsionalitas, konten, dan data, jadi memastikan bahwa itu aman dapat membawa Anda jauh.

api

Ada tiga tahap dalam API yang perlu Anda tangani, yaitu – Identifikasi, Otentikasi, dan Otorisasi.

Mari kita lihat elemen dari ketiganya di bawah ini –

Identifikasi

Bagian pertama dari proses, peretasan identifikasi dapat dicegah melalui penerapan kunci API. Kunci-kunci ini adalah pengidentifikasi unik dan acak yang menghilangkan kebutuhan kata sandi.
Meskipun Anda dapat melindungi saat data terlihat menggunakan kunci API, Anda tidak dapat memutuskan bahwa data tersebut dilihat oleh seseorang yang seharusnya melihatnya.

Autentikasi

Ini adalah proses yang menjamin bahwa informasi dilihat oleh seseorang yang dimaksudkan untuk melihatnya. Pada tahap ini, Anda menetapkan nama pengguna dan kata sandi untuk memastikan bahwa sistem mendapatkan tingkat keamanan ekstra.

Otorisasi

Langkah ini menjawab pertanyaan – Apa yang dapat dilakukan dengan API. Langkah-langkah untuk mengamankan proses ini meliputi otorisasi 2 faktor, token, dan kata sandi satu kali.

6. Uji Aplikasi

Terlepas dari apakah aplikasi Anda adalah aplikasi hybrid, asli, atau web, itu harus diuji tidak hanya dari aspek kegunaan dan fungsionalitas tetapi juga dari Keamanan. Ada sejumlah langkah yang harus Anda ikuti untuk memastikan bahwa aplikasi Anda terjamin kualitasnya untuk memastikan keamanannya.

 Berikut adalah cara untuk memastikan aplikasi Anda diuji keamanannya –

  • Pengujian Penetrasi – Ini berarti menyelidiki jaringan dan sistem untuk menemukan kelemahan.
  • Gunakan emulator untuk menguji kinerja aplikasi dalam lingkungan simulasi.
  • Uji otorisasi dan otentikasi, manajemen sesi, dan masalah keamanan data secara detail.

Jadi ini adalah 6 cara yang dapat Anda terapkan dalam proses pengembangan aplikasi Anda untuk memastikan bahwa Anda tidak menjadi pusat perhatian.

Pastikan Anda memasukkan waktu dengan baik, selagi Anda punya waktu.