Facebook Bertahun-tahun Memperbaiki Cacat yang Membocorkan Data 500 Juta Pengguna

  • Whatsapp
Facebook Had Years to Fix the Flaw That Leaked 500M Users’ Data


Nama profil, alamat email, dan nomor telepon di atas 500 juta pengguna Facebook telah beredar ke publik online selama hampir seminggu. Butuh waktu berhari-hari untuk akhirnya Facebook mengakui akar penyebabnya, sebuah masalah yang menurut perusahaan telah diperbaiki pada tahun 2019. Tapi sekarang para peneliti mengatakan Facebook mengetahui tentang kerentanan serupa selama bertahun-tahun sebelumnya, dan itu bisa membuat upaya yang jauh lebih besar untuk mencegah pengikisan massal di tempat pertama.

Bacaan Lainnya

Masalahnya adalah “pengimpor konten” Facebook, sebuah fitur yang menyisir buku alamat pengguna untuk menemukan orang yang mereka kenal yang juga menggunakan Facebook. Banyak jejaring sosial dan aplikasi komunikasi menawarkan beberapa versi ini sebagai semacam pelumas sosial. Tetapi alat impor kontak Facebook khususnya telah memiliki sejumlah masalah yang diketahui, dan seharusnya diperbaiki, selama bertahun-tahun.

“Saya yakin perusahaan lain juga sedang berkeringat sekarang. Bukan hanya Facebook, “kata Inti De Ceukelaire, seorang peneliti keamanan Belgia yang melaporkan kerentanan dalam fitur impor kontak Facebook ke perusahaan pada tahun 2017.” Tapi ini adalah tema berulang untuk Facebook bahwa setiap kali pertumbuhan dipertaruhkan, mereka akan berpikir dua kali tentang memperbaiki sesuatu untuk menguntungkan privasi pengguna. ”

De Ceukelaire dan peneliti lain telah memberi tahu Facebook tentang masalah serupa. Pada tahun 2012, Facebook membuat perubahan yang mengakibatkan alat “Unduh Informasi Anda” di situs tersebut membocorkan nomor telepon dan alamat email yang tidak disediakan oleh pengguna sendiri melalui fitur impor kontak. Seorang peneliti mengungkapkan masalah tersebut ke Facebook pada tahun 2013; pada tahun 2018, Kantor Komisaris Privasi Kanada dan Kantor Komisaris Perlindungan Data Irlandia menyelidiki temuan tersebut.

“Kantor kami menemukan bahwa FB tidak memiliki pengamanan yang sesuai sebelum pelanggaran untuk melindungi informasi pribadi pengguna dan non-pengguna,” penyelidikan menemukan.

Insiden itu berbeda dari kontroversi Facebook baru-baru ini, di mana penyerang dapat “mengikis” Facebook dengan menghitung kumpulan kemungkinan nomor telepon dari lebih dari 100 negara, mengirimkannya ke alat impor kontak, dan memanipulasinya untuk mengembalikan nama, Facebook ID, dan data lain yang telah diposting pengguna di profil mereka. Namun, selang waktu tersebut menunjukkan potensi alat impor kontak untuk mengakses data sensitif dan kebutuhan untuk berhati-hati terhadap bug dan perilaku yang tidak disengaja dalam fitur tersebut.

Penelitian De Ceukelaire tahun 2017 berhubungan jauh lebih langsung dengan metode yang digunakan para penyerang untuk mengikis kumpulan data masif baru-baru ini. “Saya menemukan relatif mudah untuk mengungkapkan nomor telepon pribadi di Facebook, mengungkap beberapa nomor telepon selebritis dan politisi Belgia,” De Ceukelaire menulis pada Februari 2017. “Meskipun trik ini tampaknya hanya berhasil di negara-negara kecil seperti Belgia (+/- 11,2 juta orang), sejumlah besar orang terpengaruh oleh kebocoran privasi yang sederhana namun efektif ini.”

De Ceukelaire telah menemukan cara manual dan agak terbatas, tetapi masih efektif, untuk menghitung nomor telepon dan mengekstrak informasi pengguna yang sesuai dari Facebook melalui fitur impor kontak. Dia menyerahkan temuan tersebut ke program bug bounty Facebook, tetapi dalam komunikasi yang ditinjau oleh WIRED, perusahaan tersebut mengatakan bahwa masalah tersebut tidak memenuhi syarat untuk pembayaran.

Peneliti telah mengangkat dua poin penting. Pertama, penyerang mungkin mencari cara yang lebih kuat dan efisien untuk menyalahgunakan fitur impor kontak melalui serangan pencacahan nomor telepon. Facebook memberi tahu De Ceukelaire pada saat itu bahwa mereka mungkin merevisi batas tarifnya — jumlah maksimum pengiriman yang bisa dilakukan — untuk fitur impor kontak, tetapi Facebook tidak melihat masalah sebagai kerentanan. De Ceukelaire lebih lanjut menandai bahwa pengguna mungkin tidak memahami bahwa kontrol privasi yang mereka tetapkan untuk informasi di profil Facebook mereka dapat dirusak oleh pengaturan privasi Facebook lain yang dikenal sebagai “Siapa yang dapat mencari saya.”

Facebook memungkinkan Anda menyetel nomor telepon dan alamat email Anda sebagai terlihat oleh “Hanya saya”. Tetapi ini juga memiliki pengaturan yang sepenuhnya terpisah, yang disebut “Siapa yang dapat mencari saya,” yang menentukan apakah seseorang dapat menemukan Anda di Facebook menggunakan nomor telepon atau alamat email Anda melalui alat impor kontak. Meskipun nomor telepon Anda disetel ke “Hanya saya” di profil Anda, nomor itu tetap dapat disetel ke “Semua Orang” di bawah “Siapa yang dapat mencari saya”. Dalam hal ini, jika seseorang menebak nomor telepon Anda, mereka dapat menautkannya ke informasi Facebook publik Anda yang lain.



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *