Pengguna Facebook yang login menggunakan Hotmail dan layanan email berbasis web lainnya mungkin rentan terhadap pembajakan akun, karena celah terkait alamat yang kedaluwarsa.
Microsoft menonaktifkan akun Hotmail yang tidak digunakan setelah 270 hari tidak aktif, menetapkan ulang alamatnya ke pengguna baru yang memintanya setelah jangka waktu tertentu.
Alamat email tersebut kemudian dapat digunakan untuk mengatur ulang kata sandi dan masuk ke situs lain – seperti Facebook – yang berpotensi memungkinkan penyerang mendapatkan kendali atas profil.
Penelitian dari Rutgers University yang berbasis di New Jersey, dicatat oleh Kebijakan penonaktifan akun Microsoft
Microsoft telah menghentikan Hotmail, mengalihkan pengguna ke Outlook.com baru. Namun karena Outlook.com juga berbasis web dan menjalankan kebijakan penonaktifan akun yang sama, hal ini masih dapat membuat pengguna rentan terhadap serangan.
Gmail tampaknya kurang rentan karena tidak mengizinkan pengguna baru meminta alamat yang digunakan sebelumnya.
“Masalahnya muncul karena privasi akun jejaring sosial online pengguna bertumpu pada privasi akun email seseorang. Begitu pengguna kehilangan yang satu, mereka juga bisa kehilangan yang lain,” kata para peneliti.
Facebook mengklaim kerentanan tersebut adalah tanggung jawab Microsoft dan menyarankan pengguna untuk memastikan alamat mereka aktif dan terbaru. Perusahaan menunjukkan bahwa ada opsi pemulihan akun lain yang tersedia jika pengguna khawatir tentang pengaturan ulang kata sandi melalui email, seperti SMS atau menunjuk teman tepercaya.
“Ini bukan masalah keamanan Facebook – ini adalah kerentanan yang hanya terjadi pada sejumlah kecil orang orang-orang yang belum memperbarui alamat email Hotmail yang terkait dengan akun Facebook mereka,” kata tersebut juru bicara. “Tidak ada yang lebih penting bagi kami selain keselamatan dan keamanan orang-orang di Facebook. Kami mendorong orang-orang untuk memastikan alamat email yang terkait dengan akun Facebook mereka adalah yang terbaru dan aman. Kami terus-menerus membangun dan merilis fitur keamanan baru – mulai dari pemberitahuan login hingga kata sandi satu kali, dan kami mendorong penggunaannya.”
Microsoft belum menanggapi permintaan komentar.
