Facebook baru saja mengumumkan bahwa serangan di jaringannya telah berhasil mengekspos data pribadi hampir 50 juta pengguna. Perusahaan yang didirikan oleh Mark Zuckerberg ini mengklaim bahwa mereka baru menemukannya akhir September lalu. Penyerang menggunakan cacat pada kode Facebook untuk mengambil alih data pengguna.
Media sosial terbesar di dunia ini mengungkap bahwa kerentanan tersebut telah diperbaiki dan penegakan hukum sudah mulai dijalankan. 90 juta pengguna baru saja dipaksa untuk logout dari akunnya pada hari Jumat pagi minggu lalu, dan saat mereka login kembali, Facebook akan mengirimkan pemberitahuan mengenai kemungkinan kebocoran tersebut. Itu adalah tindakan pencegahan yang dapat dilakukan oleh Facebook sementara ini.
Cacat kode yang dimaksud terletak pada fitur “View As“, sebuah fitur privasi yang memungkinkan pengguna Facebook melihat profilnya sendiri sebagai orang lain. Ini dapat digunakan untuk memverifikasi bahwa tidak ada informasi yang terungkap sebagaimana keinginan individu yang memiliki akun. Namun dalam kasus ini, terjadi sebuah cacat sehingga memungkinkan penyerang melakukan lebih banyak hal.
Penelitian yang dilakukan oleh Facebook menunjukkan bahwa serangan yang terjadi masih berupa tahap awal, namun jelas bahwa penyerang melakukan eksploit terhadap kerentanan pada kode Facebook yang memengaruhi fitur View As tersebut. Ini memungkinkan penyerang mencuri token akses yang kemudian nantinya bisa digunakan untuk mengambil alih akun seseorang. Token akses yang dimaksud di sini adalah semacam kunci digital yang memungkinkan orang-orang tidak perlu memasukkan ulang kata sandinya setiap kali login ke aplikasi.
Tindakan memaksa logout tersebut memang seharusnya diikuti oleh tindakan pengguna mengubah kata sandi. Facebook telah menyampaikan hal tersebut pada email yang dikirimkannya kepada pengguna yang kemungkinan terdampak.
Apa kemungkinan terburuk kejadian ini? Dikhawatirkan akan ada orang yang bisa memanfaatkan akunmu untuk meminta uang kepada teman atau keluarga kamu, atau memanfaatkan informasi pribadi kamu untuk kemudian dijual di pasar gelap. Oleh karena itu, ada baiknya jika meskipun kamu tidak mendapatkan email dari Facebook, kamu tetap mengganti password yang kamu gunakan untuk login di Facebook.
Sumber: BGR