Data Pengguna Facebook Dapat Dipanen dengan Mudah

facebook-sign-89

Facebook didesak untuk memperketat pengaturan privasi setelah seorang pengembang perangkat lunak mampu memanen data ribuan pengguna hanya dengan menebak nomor ponsel mereka. Dengan menggunakan nomor ponsel yang terhubung dengan akun di Facebook ia berhasil mendapatkan ribuan nama, foto, dan lokasi dari pengguna Facebook.

Pengembang perangkat lunak tersebut memperoleh nama, profil foto, dan lokasi pengguna yang terkait nomor ponsel mereka ke akun Facebook, tetapi memilih untuk tidak mempublikasinnya.Para ahli keamanan mengatakan celah keamanan tersebut memungkinkan hacker untuk membangun database besar pengguna Facebook untuk dijual di pasar gelap internet.

Graham Cluley, seorang analis keamanan komputer mengatakan bahwa Facebook harus berusaha untuk mencegah panen data pengguna dalam skala besar ini, namun tampaknya mereka telah gagal.

Reza Moaiandin, insinyur perangkat lunak yang menemukan cacat tersebut berhasil mengeksploitasi setting privasi yang kurang dikenal yang memungkinkan siapa pun untuk menemukan pengguna Facebook dengan cara mengetikkan nomor telepon di Facebook.

Sebagaimana diketahui, secara default Who can find me? diatur ke:   to Everyone/public, yang berarti siapa pun dapat menemukan pengguna lain dengan nomor ponsel mereka. Ini adalah pengaturan default bahkan jika pengguna yang memilih untuk menahan (tidak membagi) nomor ponsel mereka dari profil publik mereka.

Dengan menggunakan algoritma sederhana, Moaiandin menghasilkan puluhan ribu nomor ponsel dalam beberapa detik dan kemudian mengirimkan nomor ini kepada Facebook melalui pemrograman aplikasi antarmuka Facebook (API), alat yang memungkinkan pengembang untuk membangun aplikasi terkait dengan jaringan sosial. Dalam beberapa menit, Facebook mengirimkan sejumlah profil pengguna kepadanya.

Semua informasi yang diterima Moaiandin terima bisa dilihat publik, tetapi kemampuan untuk menghubungkan profil ke nomor ponsel pada skala besar membuat sistem terbuka untuk disalahgunakan.

Cluley mengatakan Facebook harus membuat sesulit mungkin bagi pihak ketiga untuk meraup bahkan berbagi informasi publik milik pengguna Facebook yang jumlahnya 1,5 miliar. Jika peduli Facebook tentang komunitas (pengguna Facebook), Facebook mungkin harus berbuat lebih banyak untuk membawa mereka ke arah yang benar. Salah satu caranya adalah memastikan bahwa pengguna harus memilih apakah mereka ingin membuat nomor telepon mereka yang dapat diakses publik, bukan menjadikannya default dapat diakses publik.

Moaiandin memberitahu Facebook tentang kerentanan tersebut pada bulan April melalui  skema bug bounty dan yang kedua kali pada tanggal 28 Juli, ketika seorang insinyur keamanan Facebook mengatakan telah melakukan langkah-langkah untuk mencegah perilaku yang mencurigakan. Karyawan Facebook tersebut menambahkan bahwa hal tersebut tidak dianggapnya sebagai kerentanan keamanan. Facebook menegaskan memiliki aturan ketat yang membatasi bagaimana pengembang dapat menggunakan API dan memberikan hukuman kepada siapa saja yang melanggar aturan tersebut.

Moaiandin mengatakan bahwa ia hanya membutuhkan beberapa menit untuk menemukan nomor ponsel selebriti atau politisi dengan profil tinggi, jika mereka telah menghubungkan nomor telepon mereka ke Facebook dan tidak memilih  friends only untuk pengaturan privasi Who can find me?.

Sumber: The Guardian