Berbagai merchant seperti toko online, layanan online, dsb banyak yang memanfaatkan Security Seals untuk meningkatkan kepercayaan pengunjung. Bagi kamu yang belum tahu, Security Seals adalah label yang menunjukkan bahwa situs tertentu verified/secure/aman. Jika sebuah situs berlabelkan Secure, maka dipastikan situs tersebut aman untuk bertransaksi. 2 perusahaan besar yang memberikan layanan itu antara lain McAfee Secure dan Trust Guard. Tetapi tahukah kamu bahwa hal itu malah membuat website rawan untuk di hack?

Inilah hal yang ditemukan oleh Jay Hames dan Shane MacDougall. Mereka menunjukkan, bagaimana hacker bisa menemukan situs yang “tidak aman” dengan memanfaatkan McAfee Secure.

Logikanya adalah seperti ini:

Ketika sebuah merchant menggunakan jasa McAfee Secure, maka websitenya akan di scan setiap hari oleh sistem McAfee. Jika website tersebut aman, maka sebuah label gambar “Secure” akan tampil.

Permasalahannya adalah ketika website tersebut terdeteksi tidak aman, maka label secure akan tergantikan dengan sebuah gambar GIF 1×1 pixel. Dimana gambar tersebut memiliki path url yang tetap.

Dengan menggunakan path url gambar tersebut, hacker bisa menemukan semua situs yang “sedang tidak aman” melalui Google atau Bing. Ratusan bahkan ribuan sasaran empuk-pun akan langsung didapatkan oleh si hacker.

Kamu bisa melihat video presentasi Jay James dan Shane MacDougall disini:

Ini tentu saja akan menjadi hal yang cukup menakutkan bagi merchant yang menggunakan jasa security seal seperti ini. Salah satu solusi yang mungkin bisa dilakukan adalah segera menutup celah keamanan website segera setelah McAfee dan Trust Guard mendeteksinya.