Aplikasi Kuis Facebook Berisiko Bocorkan Data Pengguna - Arlina Tech

Aplikasi Kuis Facebook Berisiko Bocorkan Data Pengguna

Aplikasi Kuis Facebook Berisiko Bocorkan Data Pengguna

Keamanan data pengguna Facebook kembali dipertanyakan. Jika sebelumnya ada aplikasi kuis dari pihak ketiga yang mengumpulkan data pengguna dan menjualnya ke konsultan politik, kini aplikasi lain melakukan hal serupa.

Aplikasi Kuis Facebook Berisiko Bocorkan Data Pengguna

Seorang peneliti menemukan adanya aplikasi pihak ketiga bernama NameTest yang ditengarai bisa membuat 120 juta data pengguna Facebook terekspos.

Sebagai langkah penanggulangan agar kasus Cambridge Analytica tak terulang, Facebook membuat beberapa perubahan terkait privasi data penggunanya.

Salah satunya adalah melakukan proses audit berbagai aplikasi pihak ketiga. Hasilnya, sekitar 200 aplikasi ditangguhkan aksesnya dari Facebook.

Namun, baru-baru ini seorang hacker 'putih' Inti De Ceukelaire menemukan celah keamanan pada aplikasi kuis NameTest.

De Ceukelaire memaparkan, kasus NameTest telah tercatat dalam pelaporan pada program Data Abuse Bounty.

Mengutip laman Gizmodo, Sabtu (30/6/2018), De Ceukelaire yang tak pernah memakai kuis tersebut mulai melihat aplikasi ini di Facebook milik sejumlah temannya. Dia pun menjajal kuis lewat aplikasi NameTest.

De Ceukelaire juga mulai mencari tahu bagaimana data pengguna ditangani oleh aplikasi pihak ketiga ini.

Akhirnya, dia menyadari situs web NameTest mengambil informasi pribadinya melalui http://nametests.com/appconfig_user.

Data pribadinya ternyata disimpan dalam file JavaScript yang bisa diminta dengan mudah oleh situs web manapun.

De Ceukelaire memberikan contoh, seorang pengguna Facebook bisa mengunjungi situs porno, dan situs porno itu bisa bertanya ke NameTest apakah pengunjung memiliki profil.

Kemudian, jika ternyata pengunjung punya profil, situs porno yang dimaksud bisa mengunduh sejumlah data tentang pengguna.

Siapapun Bisa Akses Data dari NameTest


Parahnya, NameTest juga akan menyediakan token akses yang memungkinkan situs apapun mengakses informasi terkait unggahan, foto, serta daftar teman selama dua bulan terakhir.

Bukan hanya itu, De Ceukelaire dalam blog-nya menuliskan, "javascript bisa membocorkan akun Facebook, nama depan, nama belakang, bahasa yang digunakan, jenis kelamin, tanggal lahir, foto profil, mata uang, perangkat yang digunakan, serta unggahan yang dipos ke Facebook, sampai ke daftar teman."

Kerentanan NameTest mungkin suatu bentuk kesalahan sederhana, tetapi ini jelas menunjukkan minimnya pengawasan Facebook terhadap data pengguna di tangan ribuan aplikasi pihak ketiga.

Terkait pelaporan yang dilakukannya, De Cekelaire mengatakan, delapan hari setelah dilaporkan, Facebook akhirnya merespon. Facebook menyebut akan meneliti NameTest.

Pada 14 Mei 2018, dia mengecek apakah Facebook sudah menghubungi pengembang NameTest.

Delapan hari kemudian, Facebook mengaku butuh waktu tiga hingga enam bulan untuk menginvestigasi masalah ini.

Pada rentang waktu sepanjang itu, tentu NameTests bisa memperbaiki celah keamanan, masalahpun tak akan tuntas.

Benar saja, pada 25 Juni 2018, De Cekelaire mengetahui NameTest telah memperbaiki celah keamanan.

Namun yang digaris bawahi oleh De Cekelaire, Facebook butuh waktu setidaknya sebulan untuk memperbaiki masalah ini.

Pihak NameTest melalui perusahaan induknya, Social Sweethearts, menyatakan telah melakukan investigasi terkait kebocoran data tersebut.

"Berdasarkan investigasi yang kami lakukan tidak ada bukti bahwa data pribadi pengguna telah bocor ke pihak lain yang tidak berkepentingan. Tidak ada bukti juga bahwa ada penyalahgunaan," demikian pernyataan dari NameTest.

Pihak NameTest juga berkilah, menurut mereka keamanan data pengguna ditangani dengan sangat serius.

Sementara itu, saat dimintai keterangan, VP Product Partnership Facebook Ime Archibong mengatakan pihak Facebook telah bekerja sama dengan NameTest untuk menutup celah keamanan di situs web NameTest dan semuanya telah selesai pada Juni 2018.
Please write your comments