Artikel Terbaru

Mengapa HTTPS Tak Cukup Lindungi Login & Transaksi

Man in The Middle Attack

Man in The Middle Attack

Di era digital saat ini, hampir semua aplikasi modern telah menggunakan HTTPS untuk mengamankan komunikasi antara client dan server. HTTPS menggunakan protokol Transport Layer Security (TLS) yang memastikan data terenkripsi saat sedang dikirim melalui jaringan. Dengan demikian, risiko intersepsi data oleh pihak ketiga selama transit tampak tereduksi.

Namun, meski TLS memberikan perlindungan pada layer transport, keamanan data tidak berhenti di situ. Man-in-the-Middle (MITM) attack tetap bisa terjadi, bukan karena kegagalan TLS, tetapi karena kelemahan dalam pengolahan data di application layer. Dengan kata lain, jika data sensitif diproses dalam bentuk cleartext sebelum atau setelah transmisi, TLS saja tidak cukup untuk mencegah kebocoran.

 
Bagaimana MITM Attack Mengeksploitasi Celah Aplikasi

MITM attack adalah jenis serangan di mana penyerang mengintersep komunikasi antara client dan server untuk mencuri atau memodifikasi data tanpa diketahui kedua belah pihak. Skenario yang memungkinkan MITM terjadi antara lain:

  • Endpoint yang telah terkompromi – perangkat pengguna yang terkena malware bisa membocorkan data.
  • Intersepsi jaringan publik – Wi-Fi publik yang tidak aman sering menjadi sasaran.
  • SSL stripping – penyerang memaksa koneksi HTTPS menjadi HTTP.
  • Manipulasi reverse proxy – server perantara yang disusupi dapat membaca data.
  • Logging atau debugging yang tidak terkontrol – data sensitif tercatat di log atau monitoring system.
  • Credential diproses dalam cleartext di backend – password, PIN, OTP, atau data transaksi yang dapat dibaca akan sangat rentan.

TLS tidak melindungi data ketika sudah berada di memory aplikasi atau saat diproses oleh server. Artinya, meskipun data terenkripsi saat dikirim, jika backend menerima data dalam bentuk readable, MITM tetap bisa dimanfaatkan oleh penyerang.

 
Titik Risiko dalam Proses Login dan Transaksi

Proses login atau transaksi umumnya mengikuti alur berikut:

  • User memasukkan credential atau data sensitif.
  • Data dikirim melalui HTTPS ke server.
  • Backend melakukan verifikasi.
  • Sistem memproses akses atau transaksi.

Dari perspektif jaringan, data terlihat aman karena terenkripsi. Namun, beberapa pertanyaan penting perlu diperhatikan:

  • Apakah enkripsi dimulai sejak titik input di client?
  • Apakah backend menerima data dalam bentuk cleartext?
  • Apakah proses verifikasi mengharuskan dekripsi nilai asli?
  • Apakah data sensitif berpotensi tercatat di log atau monitoring system?

Jika credential diproses dalam cleartext di application server, risiko serangan tetap ada, meskipun TLS sudah diterapkan.

 
Transport Encryption vs Application-Layer End-to-End Encryption

Transport encryption seperti TLS hanya melindungi data selama proses pengiriman. Namun data sensitif bisa tetap terekspos di titik lain.

Sebaliknya, Application-layer End-to-End Encryption (E2EE) mengenkripsi data sejak titik input hingga diproses di secure cryptographic boundary, sehingga backend tidak pernah melihat data dalam bentuk asli.

Keuntungan pendekatan ini meliputi:

  • Credential terenkripsi sebelum dikirim.
  • Backend tidak menerima data yang dapat dibaca langsung.
  • Verifikasi dilakukan terhadap encrypted value.
  • Intersepsi data tidak menghasilkan informasi yang bisa langsung dimanfaatkan penyerang.

Dengan cara ini, attack surface terhadap MITM berkurang secara signifikan, dan organisasi memiliki kontrol lebih baik terhadap pengolahan data sensitif.

 
Relevansi Lintas Industri

Risiko cleartext exposure dan MITM tidak hanya terbatas pada sektor finansial. Semua organisasi yang memproses login, credential, data pribadi, atau transaksi memiliki potensi risiko, antara lain:

  • Rumah sakit dan healthtech – data pasien dan hasil lab.
  • Laboratorium medis – informasi sensitif tes kesehatan.
  • Marketplace dan e-wallet – login, PIN, dan transaksi pengguna.
  • Platform trading – credential dan transaksi finansial.
  • Insurance system – data polis dan klaim.
  • HR dan payroll system – gaji, data karyawan.
  • Aplikasi layanan publik – login dan data pribadi warga.

Jika sistem masih memproses data sensitif dalam bentuk readable, pengamanan di application layer menjadi sangat penting.

 
Kewajiban Pengamanan Berdasarkan UU PDP

Di Indonesia, perlindungan data pribadi diatur melalui Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP). UU ini mewajibkan Pengendali Data untuk menerapkan langkah teknis dan organisasi yang memadai guna:

  • Menjamin keamanan data pribadi.
  • Mencegah akses tidak sah.
  • Menghindari kebocoran atau penyalahgunaan data.

Dengan demikian, jika sistem masih memungkinkan cleartext exposure terhadap credential atau data pribadi, risiko pelanggaran terhadap UU PDP meningkat. Pengamanan tidak hanya dinilai dari adanya TLS, tetapi dari seluruh desain pengolahan data.

 
Pendekatan melalui Dymar SecurePass E2EE

Salah satu solusi untuk mengatasi risiko MITM dan cleartext exposure adalah Dymar SecurePass E2EE, sebuah SDK yang mengenkripsi data sensitif di application layer sejak titik input.

Manfaat implementasi ini meliputi:

  • PIN, password, OTP, dan data sensitif terenkripsi sebelum transmisi.
  • Backend tidak menerima credential dalam bentuk cleartext.
  • Verifikasi dilakukan melalui HSM-backed cryptographic operation.
  • Dukungan multi-platform: iOS, Android, Web, dan berbagai backend.

Selain itu, SecurePass E2EE memanfaatkan infrastruktur keamanan seperti payShield 10K dan CipherTrust Manager, sehingga organisasi dapat memperkuat kontrol terhadap data sensitif dan mengurangi risiko MITM secara signifikan.

 
Kesimpulan

HTTPS memang melindungi data saat transit, tetapi perlindungan ini tidak cukup jika data sensitif diproses dalam cleartext di application layer. MITM attack tidak selalu mengeksploitasi kelemahan TLS; celah desain aplikasi dapat menjadi sasaran.

Melindungi proses login dan transaksi memerlukan evaluasi menyeluruh terhadap bagaimana data dienkripsi, diproses, dan diverifikasi sejak titik input. Menggunakan pendekatan application-layer E2EE seperti Dymar SecurePass membantu organisasi mengurangi risiko dan memastikan kepatuhan terhadap UU PDP.

FAQ

  1. Apa itu Man-in-the-Middle (MITM) attack?
    MITM adalah serangan di mana attacker mengintersep komunikasi antara client dan server untuk memperoleh atau memodifikasi data tanpa diketahui kedua pihak.

  2. Apakah HTTPS cukup untuk melindungi login dan transaksi?
    HTTPS melindungi data saat transit, tetapi tidak mencegah cleartext exposure di application layer atau backend.

  3. Apa itu cleartext exposure?
    Cleartext exposure adalah kondisi ketika data sensitif berada dalam bentuk yang dapat dibaca di memory atau proses aplikasi sebelum atau sesudah transmisi.

  4. Apa perbedaan TLS dan End-to-End Encryption (E2EE)?
    TLS melindungi data saat pengiriman. Application-layer E2EE mengenkripsi data sejak titik input hingga diproses tanpa membuka cleartext di backend.

  5. Mengapa application-layer encryption penting dalam konteks UU PDP?
    Karena UU PDP mewajibkan pengendali data menerapkan langkah pengamanan teknis yang memadai untuk mencegah akses tidak sah dan kebocoran data pribadi.

  6. Industri apa saja yang membutuhkan perlindungan ini?
    Semua organisasi yang memproses login, credential, data pribadi, atau transaksi finansial, termasuk healthcare, marketplace, fintech, government, dan enterprise system.

  7. Apa fungsi Dymar SecurePass E2EE?
    Dymar SecurePass E2EE adalah SDK yang mengenkripsi data sensitif sejak titik input hingga proses verifikasi backend untuk mencegah cleartext exposure dan mengurangi risiko MITM.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait