Facebook Bertahun-tahun Memperbaiki Cacat yang Membocorkan Data 500 Juta Pengguna


Nama profil, alamat email, dan nomor telepon lebih dari 500 juta pengguna Facebook telah beredar secara online selama hampir seminggu. Butuh waktu berhari-hari bagi Facebook untuk akhirnya mengetahui akar masalahnya, sebuah masalah yang menurut perusahaan telah diperbaiki pada tahun 2019. Tetapi sekarang para peneliti mengatakan Facebook tahu tentang kerentanan serupa selama bertahun-tahun sebelumnya, dan itu bisa membuat upaya yang jauh lebih besar untuk mencegah massa. mengikis di tempat pertama.

Yang menjadi masalah adalah “pengimpor konten” Facebook, sebuah fitur yang menyisir buku alamat pengguna untuk menemukan orang yang mereka kenal yang juga menggunakan Facebook. Banyak jejaring sosial dan aplikasi komunikasi menawarkan beberapa versi ini sebagai semacam pelumas sosial. Tetapi alat impor kontak Facebook khususnya telah memiliki sejumlah masalah yang diketahui, dan seharusnya diperbaiki, selama bertahun-tahun.

“Saya yakin perusahaan lain juga sedang berkeringat sekarang. Bukan hanya Facebook, “kata Inti De Ceukelaire, seorang peneliti keamanan Belgia yang melaporkan kerentanan dalam fitur impor kontak Facebook ke perusahaan pada tahun 2017.” Tapi ini adalah tema berulang untuk Facebook bahwa setiap kali pertumbuhan dipertaruhkan, mereka akan berpikir dua kali tentang memperbaiki sesuatu untuk menguntungkan privasi pengguna. ”

De Ceukelaire dan peneliti lain telah memberi tahu Facebook tentang masalah serupa. Pada tahun 2012, Facebook membuat perubahan yang mengakibatkan alat “Unduh Informasi Anda” di situs membocorkan nomor telepon dan alamat email yang tidak disediakan oleh pengguna sendiri melalui fitur impor kontak. Seorang peneliti mengungkapkan masalah tersebut ke Facebook pada tahun 2013; pada tahun 2018, Kantor Komisaris Privasi Kanada dan Kantor Komisaris Perlindungan Data Irlandia menyelidiki temuan tersebut.

“Kantor kami menemukan bahwa FB tidak memiliki pengamanan yang sesuai sebelum terjadinya pelanggaran untuk melindungi informasi pribadi pengguna dan non-pengguna,” penyelidikan menemukan.

Insiden itu berbeda dari kontroversi Facebook baru-baru ini, di mana penyerang dapat “mengikis” Facebook dengan menghitung kumpulan kemungkinan nomor telepon dari lebih dari 100 negara, mengirimkannya ke alat impor kontak, dan memanipulasinya untuk mengembalikan nama, Facebook ID, dan data lain yang telah diposting pengguna di profil mereka. Namun, selang waktu tersebut menunjukkan potensi alat impor kontak untuk mengakses data sensitif dan kebutuhan untuk berhati-hati terhadap bug dan perilaku yang tidak disengaja dalam fitur tersebut.

Penelitian De Ceukelaire tahun 2017 berhubungan lebih langsung dengan metode yang digunakan para penyerang untuk mengikis kumpulan data masif baru-baru ini. “Saya menemukan relatif mudah untuk mengungkapkan nomor telepon pribadi di Facebook, mengungkap beberapa nomor telepon selebritis dan politisi Belgia,” tulis De Ceukelaire pada Februari 2017. “Meskipun trik ini tampaknya hanya berhasil di negara-negara kecil seperti Belgia (+ / – 11,2 juta orang), sejumlah besar orang terpengaruh oleh kebocoran privasi yang sederhana namun efektif ini. ”

De Ceukelaire telah menemukan cara manual dan agak terbatas, tetapi masih efektif, untuk menghitung nomor telepon dan mengekstrak informasi pengguna yang sesuai dari Facebook melalui fitur impor kontak. Dia menyerahkan temuan tersebut ke program bug bounty Facebook, tetapi dalam komunikasi yang ditinjau oleh WIRED, perusahaan tersebut mengatakan bahwa masalah tersebut tidak memenuhi syarat untuk pembayaran.

Peneliti telah mengangkat dua poin penting. Pertama, penyerang mungkin mencari cara yang lebih kuat dan efisien untuk menyalahgunakan fitur impor kontak melalui serangan pencacahan nomor telepon. Facebook memberi tahu De Ceukelaire pada saat itu bahwa mereka mungkin merevisi batas tarifnya — jumlah maksimum pengiriman yang bisa dilakukan — untuk fitur impor kontak, tetapi Facebook tidak melihat masalah sebagai kerentanan. De Ceukelaire lebih lanjut menandai bahwa pengguna mungkin tidak memahami bahwa kontrol privasi yang mereka tetapkan untuk informasi di profil Facebook mereka dapat dirusak oleh pengaturan privasi Facebook lain yang dikenal sebagai “Siapa yang dapat mencari saya.”

Facebook memungkinkan Anda menyetel nomor telepon dan alamat email Anda sebagai terlihat oleh “Hanya saya”. Tapi itu juga memiliki pengaturan yang sepenuhnya terpisah, yang disebut “Siapa yang dapat mencari saya,” yang menentukan apakah seseorang dapat menemukan Anda di Facebook menggunakan nomor telepon atau alamat email Anda melalui alat impor kontak. Meskipun nomor telepon Anda disetel ke “Hanya saya” di profil Anda, nomor itu tetap dapat disetel ke “Semua Orang” di bawah “Siapa yang dapat mencari saya”. Dalam hal ini, jika seseorang menebak nomor telepon Anda, mereka akan dapat menautkannya ke informasi publik Facebook Anda yang lain.

Diposting oleh : SGP Prize