Bug di American Archive of Public Broadcasting Memungkinkan Akses Media Terbatas
Sebuah kerentanan pada situs web American Archive of Public Broadcasting (AAPB) terungkap telah memungkinkan pengunduhan konten terlindungi dan bersifat privat selama bertahun-tahun. Celah ini akhirnya ditutup secara diam-diam bulan ini, setelah sebelumnya dieksploitasi sejak setidaknya tahun 2021.
Eksploitasi Lewat Bug IDOR
Menurut laporan, kerentanan tersebut berupa Insecure Direct Object Reference (IDOR). Dengan memanipulasi parameter media ID dalam permintaan akses, pengguna bisa mendapatkan file arsip yang seharusnya terbatas. Meski halaman utama /media/{ID} memiliki kontrol akses, manipulasi permintaan melalui fetch atau XMLHttpRequest di latar belakang tetap dapat mengakses konten tanpa penolakan “403 Forbidden.”
Seorang peneliti keamanan yang pertama kali melaporkan bug ini mengonfirmasi bahwa metode eksploitasi sempat beredar di komunitas pelestari media di Discord sejak pertengahan 2024. Bahkan, bukti konsep yang dibagikan menunjukkan betapa sederhananya celah tersebut dieksploitasi—cukup dengan skrip Tampermonkey untuk melewati pembatasan.
Konten Bocor di Komunitas Arsip Digital
Eksploitasi bug ini dikaitkan dengan kebocoran beberapa konten, termasuk episode Sesame Street “Wicked Witch of the West”, yang sempat beredar di forum Lost Media Wiki. Forum tersebut kemudian menghapus unggahan itu, menyebut konten tersebut kemungkinan besar diperoleh dari pelanggaran data ilegal.
Meski AAPB telah melakukan takedown, metode eksploitasi tetap beredar di server Discord dan grup pesan yang dikenal dengan komunitas data hoarders. Komunitas ini kerap melestarikan perangkat lunak, situs web, sistem operasi, serta berbagai media seperti acara TV, musik, dan film—namun aktivitas mereka kerap bersinggungan dengan wilayah abu-abu hak cipta.
Respons AAPB
Menanggapi insiden ini, Emily Balk, Communications Manager AAPB, menegaskan bahwa perbaikan keamanan telah diterapkan hanya dalam waktu 48 jam setelah masalah dikonfirmasi.
“Kami berkomitmen melindungi dan melestarikan materi arsip di AAPB dan telah memperkuat keamanan untuk arsip tersebut. Kami berharap dapat terus menyediakan sejarah media publik yang bebas dan dapat diakses masyarakat,” ujarnya.
Implikasi Lebih Luas
Belum diketahui berapa banyak konten yang sudah diakses atau dibagikan melalui kerentanan ini. Namun, insiden ini menyoroti bagaimana komunitas pengarsip sering kali berhasil mendapatkan akses ke data atau media yang seharusnya tidak tersedia untuk publik. Sebelumnya, pada awal tahun, terjadi pula kebocoran informasi kontak karyawan PBS yang beredar di kalangan penggemar PBS Kids di Discord.
Kedua kasus ini menunjukkan bahwa meski motivasi komunitas arsip tidak selalu bersifat jahat, kelemahan teknis dapat dieksploitasi sehingga menimbulkan risiko serius terhadap keamanan data dan hak cipta.
Sumber: BleepingComputer
