2 poin oleh GN⁺ 2025-08-21 | 1 komentar | Bagikan ke WhatsApp
  • Situs web pengajuan visa AS mencoba melakukan pemindaian port jaringan milik pengguna
  • Beberapa pengguna mengamati lalu lintas jaringan yang tidak terduga saat mengakses situs web tersebut
  • Muncul kontroversi dan kekhawatiran keamanan mengenai tujuan tindakan pemindaian port ini
  • Sebagian menduga ini merupakan prosedur untuk verifikasi keamanan
  • Kekhawatiran tentang privasi serta akses jaringan yang berlebihan pun meluas

Kontroversi pemindaian port jaringan oleh situs pengajuan visa AS

Sejumlah pengguna yang mengakses situs web pengajuan visa AS menemukan bahwa situs tersebut mencoba melakukan pemindaian port terhadap jaringan pengguna. Akibatnya, para pengguna mengonfirmasi melalui log dan sarana lain bahwa saat mengakses situs melalui browser, muncul lalu lintas jaringan yang berbeda dari biasanya.

Pertanyaan utama

  • Tidak ada penjelasan yang jelas apakah upaya pemindaian port ini merupakan prosedur verifikasi untuk meningkatkan keamanan, atau ada tujuan lain
  • Para ahli keamanan menyebutkan bahwa metode ini mungkin merupakan pemeriksaan awal untuk menyaring bot berbahaya, server proxy, atau pengguna VPN
  • Namun, penggunaan akses ke port jaringan tanpa persetujuan sebelumnya pada situs web publik yang meminta data pribadi sensitif memicu kontroversi tentang apakah hal itu bertentangan dengan prinsip perlindungan privasi

Reaksi komunitas dan kekhawatiran

  • Pengguna umum menyampaikan kecemasan terhadap akses jaringan yang tidak mereka kehendaki
  • Karena pemindaian port mirip dengan tindakan berbahaya, muncul keraguan terhadap keandalan situs tersebut
  • Sebagian menilai kontroversi membesar karena tindakan ini dilakukan di situs resmi pemerintah AS

Isu keamanan dan perlindungan privasi

  • Penjelajahan port jaringan yang dilakukan tanpa otorisasi pengguna berpotensi menjadi pelanggaran hak akses yang berlebihan
  • Perlu ada pembahasan mengenai efektivitas teknis apakah cara ini benar-benar membantu keamanan
  • Ketiadaan pedoman terkait serta kurangnya prosedur persetujuan pengguna juga disorot sebagai masalah

Kesimpulan dan implikasi

Kasus ini menunjukkan bahwa ketika situs web lembaga publik mengadopsi pendekatan teknis baru demi keamanan, perlu dicari titik keseimbangan antara perlindungan privasi dan keamanan teknis. Selain itu, pemberian penjelasan yang jelas kepada pengguna dan peningkatan transparansi menjadi tantangan penting ke depannya.

1 komentar

 
GN⁺ 2025-08-21
Komentar Hacker News
  • Dalam proses pengajuan visa ada banyak sekali penipuan. Mulai dari situs yang sekadar menagih biaya dua kali lipat, sampai situs yang membohongi pemohon seolah-olah mereka ditolak lalu membuat dokumen palsu atas nama pemohon. Jadi tampaknya sistem visa mencoba memastikan apakah pengguna itu benar-benar orang sungguhan, atau penipu yang memakai server perantara atau kanal C2
    • Untuk ukuran situs web yang benar-benar buruk, pertahanan seperti itu justru pendekatan yang cukup cerdas. Pasangan saya warga negara Turki dan baru-baru ini mengajukan visa; setelah mengisi dengan teliti selama lebih dari 30 menit, sesi berakhir dan semuanya hilang. Jika Anda tidak membuat akun atau tidak mencatat ID pengajuan yang sedang berjalan, tidak ada cara menyelamatkannya. Dalam proses itu kami juga sempat diarahkan ke situs mencurigakan yang bukan .gov; awalnya saya kira penipuan, ternyata bukan. Saya paham kenapa bisa muncul layanan berbayar yang setidaknya sedikit mempermudah proses seperti mimpi buruk ini. Pengumpulan dokumen terkait sebagian besar ditangani oleh VFS Global, dan perusahaan ini sendiri juga penuh masalah, jadi secara formal hanya bertindak sebagai perantara tanpa benar-benar membantu. Baru-baru ini UE menyederhanakan prosedur pengajuan visa Schengen untuk warga Turki, alasannya karena agen resmi visa justru melakukan penipuan dengan menjual slot janji temu “jam bagus” di pasar gelap. Baik di AS maupun UE, waktu tunggu yang panjang sering membuat orang kehilangan kesempatan berharga seperti beasiswa. Ditambah lagi ada banyak masalah kecil tapi rumit seperti transliterasi huruf atau persoalan encoding, jadi saya merasa kalau muncul sesuatu seperti agen AI yang benar-benar membantu, mungkin ada peluang pasar di sini
    • Sistem visa India juga mirip. Situs resmi .gov.in sulit ditemukan, dan visanya sederhana serta biayanya sekitar 10 dolar. Situs penipuan yang hanya jago SEO menjual hal yang sama seharga 80 dolar, padahal mereka cuma meneruskan isi pengajuan ke situs resmi dan mengambil selisihnya. Akan bagus kalau pemerintah India memblokir para penipu seperti ini, tetapi tampaknya itu bukan prioritas saat ini
    • Saya tidak terlalu paham sisi jaringan, jadi penasaran bagaimana port scan bisa dipakai untuk mendeteksi bahwa seseorang adalah penipu
    • Sulit membayangkan itu benar-benar bisa dilakukan. Kalau “pemindaian” seperti ini dijalankan lewat JavaScript di sisi klien, rasanya tidak mungkin mendeteksi sesuatu tentang proxy hanya karena file dikirim ke server proxy
  • Fitur ini tampaknya berasal dari skrip F5, dan F5 adalah perusahaan yang menjual solusi keamanan anti-bot. (/TSPD memuat skrip yang diobfusksi, dan itu adalah elemen khas F5)
    https://www.f5.com/
    • TS tampaknya singkatan dari TrafficShield, yang dulu diakuisisi F5, dan PD mungkin singkatan dari Proactive Defense
  • Saya baru tahu belakangan ini bahwa uBlock Origin punya daftar bawaan bernama "Block Outsider Intrusion into LAN". Ini informasi yang sangat berguna
    • Setelah melihat permintaan fitur di github, saya jadi bertanya-tanya kenapa fitur seperti ini diperlukan. Saya tidak begitu paham kenapa browser benar-benar memberikan atau perlu memberikan akses ke jaringan lokal. Saya pernah melihat sebagian permintaan seperti ini saat mengakses sesuatu yang terhubung dengan soket seperti lalu lintas mDNS, jadi saya bisa membayangkan kemungkinannya
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • Fakta bahwa akses seperti ini diizinkan saja sudah mengejutkan. Saya penasaran bagaimana bisa muncul gagasan bahwa semua situs yang kita kunjungi boleh mengakses jaringan lokal saya
    • uBlock Origin makin banyak menghapus fungsi js; saya penasaran apakah fitur ini juga tersedia di versi lite
    • Setelah saya mengaktifkan opsi ini, tingkat keamanan saya meningkat drastis. Terima kasih semuanya
    • Saya juga tidak tahu fitur ini ada, tetapi di laptop dan browser seluler saya ternyata sudah aktif
  • Saya tidak mengerti bagaimana browser bisa mengizinkan hal seperti ini, dan kenapa tidak meminta persetujuan pengguna seperti akses mikrofon. Fakta bahwa situs web acak bisa melakukan port scan di LAN saya terasa terlalu berbahaya untuk diterima. Bukankah ini seharusnya dianggap kerentanan keamanan, bukan “fitur”?
    • Di Chrome, akses seperti ini tidak diizinkan. Layanan jaringan lokal harus opt-in agar dapat diakses dari situs eksternal(
      https://github.com/WICG/private-network-access
      ), dan sedang diubah agar berbasis persetujuan pengguna(
      https://github.com/WICG/local-network-access
      ). Ada perdebatan apakah PNA benar-benar sudah diluncurkan, tetapi saya sendiri pernah mengalaminya di Chrome stable beberapa tahun lalu, jadi saya tidak tahu status terkininya secara pasti. Firefox tidak mendukung akses seperti ini. Dugaan saya karena kekurangan sumber daya pengembangan
  • Saya memakai uMatrix, dan secara bawaan semua koneksi selain ke situs yang diminta dan domain induknya diblokir. Misalnya saat mengunjungi mail.yahoo.com, hal-hal seperti yimg.com harus diizinkan secara manual, jadi port scan/profiling seperti ini tidak berhasil. Awalnya sangat merepotkan, tetapi setelah berbulan-bulan membesarkan whitelist, sekitar 90% situs yang saya kunjungi sudah tercakup. Di sistem saya, ceac.state.gov/genniv/ mencoba terhubung ke captcha.com, Google Analytics, Tag Manager, 127.0.0.1, dan "burp" (hostname lokal yang tidak ada di jaringan saya). Menariknya, di konsol browser upaya ke localhost atau burp tidak terlalu terlihat. Setelah mengizinkan 127.0.0.1 dan melihat dengan tcpdump, tampak lalu lintas yang mencoba terhubung ke port 8888 (port itu sendiri tidak terbuka)
    • Saya penasaran apakah uMatrix juga memblokir Facebook tracking pixel atau pengganti terbarunya, Conversions API Gateway. Conversions API Gateway di-host dalam bentuk container di bawah domain sendiri (bahkan bisa domain utama), lalu mengirim data pengguna ke Facebook dari sisi server. Cukup sisipkan JS dan semua data akan terkirim
    • uMatrix saat ini sudah diarsipkan (dukungan dihentikan), dan sekarang yang direkomendasikan adalah memakai uBlockOrigin dengan pengaturan lanjutan diaktifkan (struktur ini menyerap fungsi uMatrix). Kalau ingin pemblokiran lebih kuat, disarankan juga mengatur hard mode lalu memakai shortcut untuk beralih ke mode relax blocking. Filter list (terutama yokoffing/filterlists dan daftar berdasarkan wilayah/bahasa) juga sangat layak dipakai
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Sepertinya tujuannya adalah memeriksa apakah Burp Suite terhubung ke aplikasi web
    • Saya penasaran bagaimana mereka menyembunyikan permintaan ke 127.0.0.1 dari tab network
    • burp itu sebenarnya adalah Burp Suite seperti yang juga disebutkan di
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      . Tampaknya mereka ingin mempersulit analisis situs
  • Beberapa ekstensi meminta izin untuk “mengakses data di semua situs”. Kecuali itu dari perusahaan terkenal atau pengembang yang tepercaya, saya tidak mengerti kenapa orang mau memberikan izin seperti itu. Terutama ekstensi bernama "Hacks and Hops" yang memakai domain tidak ada,
    https://g666gle.me/
    sebagai homepage. Ekstensi seperti itu, seberapa menarik pun tampilannya, tidak akan pernah saya pasang
    • Fenomena kontradiktif seperti ini hampir universal di forum seperti HN. Rasanya orang yang memasang ekstensi semacam ini sudah tidak waras. Banyak konsumen terlalu tenggelam dalam khayalan bahwa “privasi” bisa dipasang, sampai malah mengunduh rootkit berkedok VPN dan ekstensi acak. Kalau Anda sampai memasang ekstensi penipuan, tindakan paling minimal mungkin adalah membakar PC Anda, melindasnya dengan mobil, lalu membuat ulang semua rekening dan mengganti semua kata sandi dari perangkat yang benar-benar baru
  • Port scan seperti ini, device fingerprinting, dan anti-anonymity SAAS terjadi di banyak situs. Ebay dan Facebook juga melakukannya. Tetapi dalam kasus ini tujuan utamanya tampaknya untuk memblokir pemblokiran iklan itu sendiri. Mereka memakai fingerprint yang diobfusksi berukuran 1MB + port scan + WebGL. Yang agak unik, ada upaya mencari jalur Burp Suite
    • Saya penasaran bagaimana cara memperkeras keamanan jaringan saya terhadap serangan seperti ini
    • Saya pernah mengalami pola port scan yang sama di situs pendaftaran kartu baru
  • “Port scan” kali ini tampaknya sebatas upaya koneksi lokal ke 127.0.0.1:8888. Saya tidak tahu persis untuk apa, tetapi di situs pemerintah cara seperti ini kadang dipakai untuk berkomunikasi dengan perangkat lunak native untuk tanda tangan elektronik dokumen. Saya penasaran apakah ada juga upaya koneksi ke IP lain
    • Ini bisa juga disebabkan card reader, server debugging, atau kesalahan pengembang. Dalam pengalaman saya, pernah ada URL yang sudah baked-in ke lingkungan pengembangan dengan localhost alih-alih host eksternal lalu ikut ter-deploy. Bisa saja mereka memakai port 8888 untuk server pengembangan lokal, jadi tidak terlalu mengejutkan
    • Kemungkinan besar ini adalah percobaan koneksi untuk tujuan pengumpulan data/pelacakan jika ada webserver yang berjalan di perangkat pengguna (lokal). Dulu Facebook/meta juga pernah terungkap melakukan pelacakan serupa di Android (melalui Messenger/Instagram lewat webserver). Lihat referensi di bawah
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • Dalam situasi seperti ini, bisa jadi justru wajar kalau situs web mencoba terhubung ke port lokal untuk card reader dan sejenisnya. Sebagian atau kebanyakan negara UE memakai chip di kartu identitas dan kartu registrasi kendaraan untuk autentikasi dan akses layanan administrasi. Dulu hanya didukung Java+Internet Explorer, tetapi sejak IE dihentikan dan beralih ke Chromium saya tidak lagi tahu mekanismenya, jadi saya belum memakainya belakangan ini
    • Sekarang biasanya perlu memasang layanan lokal yang menjembatani browser dan driver smart card. Dulu peran itu dijalankan applet Java, sekarang dilakukan layanan bridge. Driver khusus kartu dan layanan bridge dipasang dalam satu paket
    • Pernah juga saya diminta membaca chip NFC paspor lewat aplikasi iPhone/Android. Sepertinya ini pengganti modern untuk IE/Java
  • Saya agak malu tidak tahu praktik seperti ini sebelumnya. Selain fingerprinting, saya penasaran apakah ada tujuan penyalahgunaan tambahan
    • Facebook memang pernah memakai cara seperti ini di Android. Aplikasi Android Meta menjalankan server di localhost dan menukar informasi pelacakan yang diblokir proteksi browser melalui server lokal itu. Secara teknis ini memang fingerprinting, tetapi bisa dibilang bentuk pemakaian yang paling ekstrem
      https://news.ycombinator.com/item?id=44169115
    • Bisa saja ada router dengan URL yang rentan. Coba cari “router authentication bypass”, ada beberapa contohnya
    • Di konsol Safari macOS, saat mengunjungi situs tertentu terlihat fenomena seperti ini
      https://files.catbox.moe/g1bejn.png
      . Saya penasaran layanan apa yang biasanya memakai port 8888 secara spesifik
    • Kebanyakan dipakai untuk pelacakan, tetapi kalau pengguna menjalankan layanan sensitif di localhost, ada kemungkinan disalahgunakan untuk kebocoran data
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe