Kunci Wordle v2
Wordle sebuah permainan teka-teki yang memaksa kita untuk menerka, kira-kira kata apa yang muncul hari ini. Permainan yang sederhana berisi kotak berjejer lima dengan jumlah baris 6 buah, kita dituntut untuk bisa menebak maksimal 6 kali untuk sebuah kata dengan 5 karakter. Tapi, untuk versi kedua ini kuncinya terlalu mudah untuk didapatkan sehingga kita bisa mencontek apa kata yang keluar hari itu.
Sebenarnya permainan ini mirip dengan katla yang mana untuk versi saat ini masih bisa ditebak. Hanya saja untuk wordle, kuncinya terlalu mudah untuk didapat. Bila katla harus menggunakan kriptografi dan permainan encoding, wordle justru hanya bermodal endpoint API servicenya saja.
Berbeda dengan katla, wordle melakukan tracking data user dengan menyimpannya di server. Sedangkan katla hanya dilakukan di local storage saja, sehingga data user bisa seenaknya direset dengan clear local storage.
Ketika ada trafik API inilah saya menjadi curiga, jangan-jangan kata kuncinya bisa direquest melalui API. Dan ternyata benar, ketika saya mencoba inspect elemen dan memonitoring network, ada endpoint berbentuk seperti ini:
1 |
|
Ternyata solutionnya tidak dilakukan hash/encryption sehingga langsung bisa didapatkan. Seharusnya, untuk data semacam solution
ini tidak diberikan secara plain text. Bisa dengan hash, encoding atau apapun. Ini menjadi pelajaran kita bahwa keamanan siber itu perlu diupayakan. Memang kunci akan lebih mudah dikonsumsi oleh aplikasi / program, namun dari segi keamanan, orang bisa dengan mudah melakukan bypass tanpa ada effort apapun. Memang bener sih, tidak ada yang aman di dunia ini, yang ada adalah kerepotan yang membuat sesuatu itu menjadi aman. Semoga bermanfaat.