Pelanggaran Data di Facebook Membuat Ribuan Aplikasi Lain Menjadi Rentan

Hari Jumat minggu lalu, Facebook mengungkapkan kerentanan yang memungkinkan penyerang mencuri kredensial log-in otomatis (atau token). Token mempermudah orang untuk masuk ke aplikasi dan layanan populer seperti Spotify, Pinterest, atau Yelp. Kerentanan yang telah ada sejak Juli 2017, ditemukan bulan lalu setelah para insinyur Facebook melihat aktivitas login yang tidak biasa.

Sementara ruang lingkup serangan tersebut masih belumbegitu terang, para peneliti independen mengatakan kerusakan bisa meluas jauh melampaui batas-batas Facebook. Jason Polakis, asisten profesor ilmu komputer di University of Illinois di Chicago, baru-baru ini menulis sebuah makalah tentang kerentanan dalam sistem Single Sign-On (SSO), serupa dengan yang digunakan oleh Facebook.

Polakis mengatakan pelanggaran token tersebut memengaruhi jauh lebih luas daripada Facebook, yaoitu potensi backdoor ke ribuan aplikasi dan situs web pihak ketiga. Sederhananya, token adalah rangkaian huruf dan angka unik yang dapat digunakan untuk memasukkan pengguna secara otomatis ke aplikasi dan situs web lain, jadi pengguna tidak perlu terus-menerus memasukkan kata sandi.

Dana Simberkoff, dari perusahaan keamanan AvePoint mengatakan bahwa dari sudut pandang keamanan, menggunakan Facebook atau aplikasi media sosial lainnya untuk masuk ke layanan lain bukanlah hal yang cerdas untuk dilakukan atau berisiko. Cara ini memang mudah dan nyaman, tetapi ketika pengguna menggunakan pintasan, ada konsekuensinya. Pengguna tidak boleh menggunakan satu aplikasi untuk masuk ke aplikasi lain, karena ketika salah satu dari sistem tersebut disusupi, semua hal lain yang digunakan juga ikut disusupi.

Inilah yang sebenarnya terjadi. Berkat berbagai bug di fitur View As dan pengeposan video Facebook, token pengguna dipaparkan kepada penyerang yang kemudian mengekstraknya dari kode laman HTML. Setelah penyerang menemukan cara mencuri token satu orang, selanjutnya akan menjadi masalah sederhana mengotomatiskan proses untuk mengkompromikan jutaan akun Facebook, serta akun pihak ketiga (seperti Spotify atau Pinterest) yang bergantung pada token Facebook tersebut.

Sebagai tanggapan, Facebook menonaktifkan fitur buggy di situsnya, mengubah token untuk 90 juta pengguna, dan mengeluarkan mereka dari Facebook. Ketika pengguna masuk kembali, token baru dihasilkan. Meskipun hal itu dapat menghentikan penyerang di masa depan dari mencuri kredensial masuk mereka, hal itu mungkin tidak banyak membantu untuk mengurangi kompromi apa pun yang telah terjadi.

Dengan kata lain, jika penyerang telah menggunakan kredensial Facebook untuk masuk ke salah satu aplikasi yang digunakan pengguna, mereka mungkin masih ada di sana, tergantung pada pengaturan keamanan aplikasi.

Saat menguji skenario serangan ini, Polakis dan rekan-rekan penelitinya mengakses akun di 29 situs web paling populer dan masih dapat masuk ke 22 situs, bahkan setelah kehilangan akses ke akun Facebook.

Bahkan bisa lebih buruk. Meskipun pengguna belum pernah menggunakan proses masuk Facebook untuk aplikasi atau situs web, penyerang masih dapat menggunakan token untuk masuk sebagai pengguna, asalkan pengguna menggunakan alamat email yang sama untuk kedua layanan tersebut. Dan jika pengguna belum memiliki akun di layanan ini, penyerang dapat menggunakan token untuk membuat satu akun atas nama pengguna dan dapat duduk tidak aktif menunggu pengguna untuk akhirnya masuk sehingga mereka dapat mencuri informasi pribadi pengguna.

Sumber: The Guardian

Sumber Foto: Liputan 6