data.go.id dilaporkan terdampak kerentanan CVE-2022-0735 pada GitLab, sebuah platform DevOps populer untuk manajemen kode sumber, CI/CD, dan kolaborasi tim.
Kerentanan ini memungkinkan penyerang memanipulasi alur reset kata sandi melalui kelemahan pada mekanisme pembuatan token, yang berpotensi berujung pada account takeover tanpa kredensial asli korban.
Tim keamanan yang melakukan pengujian pada data.go.id menemukan bahwa proses reset kata sandi GitLab menghasilkan token yang diturunkan secara deterministik dari email utama pengguna. Dengan mengetahui atau menebak email target, penyerang dapat merekonstruksi token yang valid dan menggunakannya pada endpoint reset password.
Hal ini diperkuat oleh petunjuk pada halaman reset GitLab yang secara eksplisit meminta primary email address. Setelah email korban diketahui, penyerang dapat menghasilkan token yang sesuai, mengirim permintaan reset password, dan mengatur kata sandi baru untuk akun korban.
Kerentanan CVE-2022-0735 pada GitLab menunjukkan bagaimana detail kecil seperti cara token dibangkitkan dari email dapat berdampak besar pada keamanan. Pada data.go.id, kondisi ini berpotensi memberi jalan bagi penyerang untuk mengambil alih akun pengembang dan menembus rantai pasok perangkat lunak internal. Pembaruan sistem dan penguatan kontrol autentikasi menjadi langkah krusial untuk mencegah eksploitasi lebih lanjut.