Pengelola Kata Sandi Bocor Data dalam Serangan Clickjacking Baru

Image by Volodymyr Kondriianenko, from Unsplash

Pengelola Kata Sandi Bocor Data dalam Serangan Clickjacking Baru

Waktu baca: 2 Mnt

Updated Terakhir: Aug 21, 2025

Sebuah studi baru memperingatkan bahwa jutaan pengguna manajer kata sandi bisa menjadi rentan terhadap eksploitasi browser berbahaya yang disebut “DOM-based Extension Clickjacking”.

Dalam keadaan terburu-buru? Berikut fakta-fakta singkatnya:

  • Penyerang dapat menipu pengguna untuk mengisi data secara otomatis dengan satu klik palsu.
  • Data yang bocor mencakup kartu kredit, kredensial login, dan bahkan kode dua faktor.
  • 32,7 juta pengguna tetap terpapar karena beberapa vendor belum memperbaiki kelemahan.

Peneliti di balik penemuan ini menjelaskan: “Clickjacking masih menjadi ancaman keamanan, tetapi sangat penting untuk beralih dari aplikasi web ke ekstensi browser, yang lebih populer saat ini (pengelola kata sandi, dompet kripto, dan lainnya).”

Serangan ini bekerja dengan menipu pengguna untuk mengklik elemen palsu, termasuk spanduk cookie dan pop-up captcha, sementara skrip yang tak terlihat secara diam-diam mengaktifkan fungsi pengisian otomatis dari manajer kata sandi. Para peneliti menjelaskan bahwa para penyerang hanya membutuhkan satu klik untuk mencuri informasi sensitif.

“Satu klik saja di mana saja di situs web yang dikontrol oleh penyerang bisa memungkinkan penyerang untuk mencuri data pengguna (rincian kartu kredit, data pribadi, kredensial login termasuk TOTP),” demikian laporan tersebut.

Peneliti telah menguji 11 pengelola kata sandi populer, termasuk 1Password, Bitwarden, Dashlane, Keeper, LastPass, dan iCloud Passwords. Hasilnya sangat mengkhawatirkan: “Semua rentan terhadap ‘DOM-based Extension Clickjacking’. Puluhan juta pengguna dapat berisiko (~40 juta instalasi aktif).”

Tes tersebut mengungkapkan bahwa dari sembilan pengelola kata sandi, enam di antaranya membocorkan detail kartu kredit, sementara delapan pengelola dari sepuluh membocorkan informasi pribadi. Lebih jauh lagi, sepuluh dari sebelas pengelola kata sandi memungkinkan penyerang mencuri kredensial login yang tersimpan. Dalam beberapa kasus, bahkan kode autentikasi dua faktor dan kunci akses dapat dikompromikan.

Meskipun para penjual telah diberi tahu pada April 2025, para peneliti mencatat bahwa beberapa di antara mereka, seperti Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, dan LogMeOnce belum juga memperbaiki kelemahan tersebut. Hal ini sangat mengkhawatirkan karena diperkirakan telah mencapai 32,7 juta pengguna yang terpapar serangan ini.

Para peneliti menyimpulkan: “Teknik yang dijelaskan ini umum dan saya hanya mengujinya pada 11 manajer kata sandi. Ekstensi lain yang memanipulasi DOM mungkin juga rentan (manajer kata sandi, dompet kripto, catatan, dll).”

Anda suka artikel ini? Beri Rating!
Saya sangat tidak menyukainya Saya tidak begitu menyukainya Okelah Cukup bagus! Suka sekali!

Kami senang kamu menyukai artikel kami!

Sebagai pembaca yang budiman, maukah Anda memberikan ulasan di Trustpilot? Ini tidak lama dan sangat berarti bagi kami. Terima kasih sekali!

Beri kami peringkat di Trustpilot
0 Rating dari 0 pengguna
Judul
Komentar
Terima kasih atas feedback Anda