Informasi lebih lanjut telah muncul tentang yang terbaru Peretasan Facebook, dalam bentuk judul yang tidak membantu pemberitahuan keamanan “Pembaruan penting tentang insiden keamanan baru-baru ini di Facebook.” Di dalamnya, Facebook mengakui bahwa peretas telah memperoleh akses ke lebih dari 30 juta akun. Tapi tidak apa-apa, karena dan saya kutip, mereka “sangat menyesal hal ini terjadi.” Tidak ada perasaan sulit, bukan?
Tidak tahu apa yang saya bicarakan? Itu keren, berikut ikhtisar singkatnya.
Pada tanggal 28 September, Wakil Presiden Manajemen Produk Facebook, Guy Rosen, memposting a pembaruan keamanan, memberi tahu kami bahwa tiga hari sebelumnya, tim teknik menemukan bug keamanan yang memungkinkan peretas mendapatkan akses ke sekitar 50 juta akun Facebook melalui token akses mereka – hal yang membuat Anda tetap masuk ke akun Anda akun. Facebook menanggapinya dengan mengeluarkan 40 juta pengguna tambahan dari akun mereka, sebagai tindakan pencegahan.
Lihat terkait
Dua minggu kemudian, Rosen memposting lagi, membuktikan sekali dan untuk semua bahwa dia tidak begitu hebat dalam memberi judul pemberitahuan keamanan. Di dalam "Pembaruan tentang Masalah Keamanan,” Rosen menyatakan bahwa jumlah akun yang terkena dampak sebenarnya mendekati 30 juta. Jumlahnya masih besar, namun tidak seburuk perkiraan.
BACA BERIKUTNYA: Facebook kehilangan £83 miliar setelah Cambridge Analytica
Jadi apa yang terjadi?
Tampaknya, tim teknik melihat “lonjakan aktivitas yang tidak biasa” pada 12 September, namun baru dua minggu kemudian terlihat bahwa ini adalah peretasan. Mereka menemukan bahwa para penyerang memiliki profil Facebook mereka sendiri, yang terhubung ke akun lain sebagai “teman Facebook.”
Untuk beberapa alasan yang tidak dapat saya pikirkan, Pedro Canahuati, Wakil Presiden Teknik, Keamanan dan Privasi, menjelaskan secara sangat rinci ketika menjelaskan kelemahan keamanan yang memungkinkan terjadinya peretasan terjadi. Laporan lengkapnya adalah Di Sini, sekitar separuh halaman. Pada dasarnya, kerentanan terjadi selama pembaruan tahun lalu pada fungsi “Lihat sebagai” Facebook, yang memungkinkan Anda melihat profil Anda sendiri dari sudut pandang pengguna lain. Dalam nasib yang aneh, “view as” pada awalnya dirancang sebagai tindakan pengamanan.
“Saat menggunakan fitur Lihat Sebagai untuk melihat profil Anda sebagai teman, kode tersebut tidak menghapus komposer yang memungkinkan orang mengucapkan selamat ulang tahun kepada Anda; pengunggah video akan membuat token akses padahal seharusnya tidak ada; dan ketika token akses dibuat, itu bukan untuk Anda tetapi orang yang dicari,” demikian keterangan resmi yang diberikan Canahuati. “Token akses tersebut kemudian tersedia dalam HTML halaman, yang dapat diekstraksi dan dieksploitasi oleh penyerang untuk masuk sebagai pengguna lain. Penyerang kemudian dapat beralih dari token akses tersebut ke akun lain, melakukan tindakan yang sama dan mendapatkan token akses lebih lanjut.”
Tampaknya Facebook telah memperbaiki bug ini. Secara pribadi, saya berharap ini berfungsi dengan baik, karena secara harfiah hanya memberikan penjelasan langkah demi langkah tentang cara meretas profil seseorang.
Baiklah, tapi apa yang ditemukan para peretas?
Pertanyaan bagus. Sabuk pengaman.
15 juta jiwa miskin informasi identifikasi dua faktornya dicuri. Ini bisa berupa nomor telepon, alamat email, atau keduanya, tergantung pada informasi apa yang diberikan pengguna kepada Facebook. (Ini bukan yang pertama kalinya omong-omong, identifikasi dua faktor telah menyebabkan masalah privasi.)
Khawatir? Bisa dimaklumi, tapi jangan lepaskan dulu, ini akan bertambah buruk.
14 juta akun sisanya terkena serangan keras. Guy Rosen mencoba menyelesaikan bagian ini dengan cepat, tetapi bahkan menelusuri daftarnya pun tidak dapat menyembunyikan bahwa para peretas dapat melihat mereka “nama pengguna, jenis kelamin, lokal/bahasa, status hubungan, agama, kota asal, kota saat ini yang dilaporkan sendiri, tanggal lahir, jenis perangkat yang digunakan untuk mengakses Facebook, pendidikan, pekerjaan, 10 tempat terakhir mereka mengunjungi atau ditandai, situs web, orang atau Halaman yang mereka ikuti, dan 15 tempat terbaru pencarian.”
Rosen mengikuti kejutan ini dengan mengklarifikasi bahwa 1 juta akun tidak mendapatkan informasi apa pun yang dicuri sama sekali. Fiuh. Untuk sesaat, saya mulai khawatir.
BACA BERIKUTNYA: Mengapa Facebook menghapus lebih dari 800 akun politik
Apakah saya terpengaruh?
Jika Anda harus bertanya, jawabannya mungkin “tidak”. Setiap orang yang terkena dampak telah keluar dari akun mereka dan menerima pemberitahuan keamanan ketika mereka masuk kembali. Namun pada saat yang sama, hanya karena Anda mendapat pemberitahuan, bukan berarti Anda diretas. Ingat? Hanya 30 juta orang yang terkena dampaknya, tetapi 90 juta akun mereka logout. Anda dapat memeriksanya Di Sini untuk melihat apakah akun Anda disusupi oleh peretasan – cukup gulir ke bawah ke bagian yang diberi judul “Apakah akun Facebook saya terkena dampak masalah keamanan ini?”
Apakah Facebook melakukan sesuatu untuk mencegah hal ini terjadi lagi?
Ya, Facebook tentu saja mengklaim demikian. Selain mengeluarkan banyak orang dari akun mereka, Facebook juga menonaktifkan sementara fungsi “lihat sebagai”, yang jika Anda ingat, merupakan titik rawan keamanan. Selain itu, perusahaan hanya menyatakan bahwa mereka akan terus menyelidiki masalah ini bersama FBI. Komisi Perdagangan Federal Amerika Serikat, Komisi Perlindungan Data Irlandia, dan beberapa lainnya yang tidak disebutkan namanya pihak berwajib.
Sejauh ini, tidak ada indikasi bahwa Facebook mengetahui siapa dalang dibalik peretasan ini, namun kami akan terus memberi tahu Anda jika ada hal baru yang terjadi.
