Sensitive Information Disclosure adalah salah satu kerentanan website yang sering dianggap remeh, padahal dampaknya bisa fatal. Kerentanan ini muncul ketika file konfigurasi atau data sensitif lainnya dapat diakses publik melalui browser. Banyak administrator server tidak sadar bahwa file yang disimpan di folder web root secara default bisa terbuka, misalnya config.php atau .env. Artikel ini akan membahas definisi, contoh, risiko, hingga cara mencegah kerentanan tersebut.
Apa Itu Sensitive Information Disclosure?
Kerentanan ini termasuk dalam kategori kebocoran data sensitif. File konfigurasi yang terbuka biasanya berisi informasi penting seperti:
- Nama database
- Username dan password database
- Host server serta port koneksi
- Token atau API key
Jika data ini terekspos, penyerang hanya perlu beberapa langkah untuk mencoba masuk ke sistem database dan mengeksploitasi website.
Contoh Kasus Sensitive Information Disclosure
Kasus kebocoran data akibat file konfigurasi terbuka sudah beberapa kali terjadi. Misalnya, ada perusahaan kecil yang tidak menonaktifkan directory listing di server Apache mereka. Akibatnya, folder /config/ bisa diakses siapa saja. Di dalam folder itu terdapat file config.ini.php yang berisi username dan password database dalam bentuk teks biasa. Penyerang yang menemukannya bisa langsung masuk ke database dan mencuri ribuan data yang berada pada server atau website.
Dampak Sensitive Information Disclosure pada Website
Kerugian dari konfigurasi yang terbuka cukup serius:
- Akses ilegal ke database → membuka peluang injeksi data atau sabotase.
- Kebocoran informasi pengguna → alamat email, nomor telepon, hingga data transaksi bisa dicuri.
- Integritas data terganggu → penyerang bisa mengubah atau menghapus informasi penting.
- Reputasi perusahaan menurun → pengguna kehilangan kepercayaan pada layanan.
- Sanksi regulasi → di bawah aturan seperti GDPR, kebocoran data dapat berujung pada denda.
OWASP menempatkan kebocoran data sensitif sebagai salah satu isu utama dalam daftar keamanan aplikasi web. Lihat detailnya di sini.
Penyebab Sensitive Information Disclosure
Beberapa faktor yang menyebabkan kerentanan ini adalah:
- Directory listing diaktifkan secara default.
- File konfigurasi diletakkan di dalam web root.
- Permission file terlalu longgar.
- Kurangnya audit keamanan dan pengujian rutin.
Cara Mencegah Sensitive Information Disclosure
Untuk melindungi website dari risiko ini, langkah pencegahan berikut bisa diterapkan:
- Nonaktifkan directory listing di Apache atau Nginx.
- Pindahkan file konfigurasi ke luar web root.
- Gunakan environment variable atau secret manager untuk menyimpan kredensial.
- Batasi permission file konfigurasi agar hanya bisa diakses user aplikasi.
- Lakukan audit keamanan rutin untuk mendeteksi file yang tidak seharusnya terbuka.
- Segera ubah password database jika sudah terlanjur terekspos.
Sebagai tambahan, baca juga panduan kami tentang XSS (Cross Site Scripting) pengertian serta pencegahan lebih dini.
Kesimpulan
Kerentanan seperti Sensitive Information Disclosure bukan masalah kecil. Dengan terbukanya file konfigurasi, penyerang bisa langsung mengambil alih database, mencuri data, bahkan merusak sistem. Menutup akses publik, mengatur permission dengan benar, serta memanfaatkan teknologi penyimpanan kredensial yang aman adalah langkah penting untuk menjaga kepercayaan pengguna dan melindungi bisnis dari serangan siber.l yang tidak menonaktifkan directory listing di server Apache mereka. Akibatnya, folder /config/ bisa diakses siapa saja. Di dalam folder itu terdapat file config.ini.php yang berisi username dan password database dalam bentuk teks biasa. Penyerang yang menemukannya bisa langsung masuk ke database dan mencuri ribuan data pelanggan atau bisa lebih parah hingga merusak website dan membocorkan data sensitive perusahaan atau website.