Lakukan Pembaruan Keamanan, Ada Apa Dengan Facebook?

marketeers article

Pada 28 September lalu, Facebook menerbitkan pembaruan keamanan yang menjelaskan bahwa tim ahli mereka telah menemukan masalah keamanan yang mempengaruhi hampir 50 juta akun. Pelaku diduga melakukan serangan cukup canggih yang memungkinkan mereka mencuri 50 juta token akses pengguna.

Akses token pada dasarnya menjadi kunci untuk akun seseorang. Jika ia memiliki akses token, Facebook menganggap pengguna tersebut berwenang untuk memasukkan akun tanpa meminta kode login, kata sandi, dan 2FA.

Jadi, setelah mencuri 50 juta akses token pengguna, para pelaku berpotensi mengakses jutaan akun tersebut. Tetapi, itu tidak berarti mereka mendapat akses ke kata sandi atau merusak mekanisme otentikasi dua faktor akun seseorang.

Kata sandi masih tetap aman dan 2FA masih berfungsi sebagaimana seharusnya. Oleh karena itu, “mencuri token” adalah cara untuk melewati pertahanan tersebut.

Facebook menjelaskan bahwa penyelidikan atas insiden tersebut masih berada di tahap awal. Tetapi untuk saat ini, mereka mencurigai bahwa pelaku menemukan kerentanan dalam fitur “View As” dan mengeksploitasinya, untuk mendapatkan akses ke 50 juta token akun.

Itulah mengapa mereka mematikan fitur tersebut. Kemudian menyetel ulang token otentikasi pengguna terhadap akun, dan kembali menata ulang token tersebut untuk 40 juta pengguna lain yang telah menggunakan fitur ini dalam setahun terakhir.

Ketika token disetel ulang, orang yang telah memilikinya tidak dapat lagi mengakses akun tersebut  sehingga harus melakukan log in kembali. Pelaku tidak memiliki kata sandi log in, jadi meskipun akun awalnya terpengaruh, mereka tidak bisa lagi berpura-pura dan mengakses akun  itu.

Yeo Siang Tiong General Manager Kaspersky Lab Asia Tenggara memberikan komentar bahwa ketika pelaku kejahatan siber mendapat informasi tentang seseorang, biasanya akan digunakan untuk keuntungan finansial.

“Informasi identitas pribadi seperti nama, tanggal lahir dan nomor ponsel digunakan di banyak bagian dari kehidupan kita, seperti pertanyaan keamanan atau pemeriksaan verifikasi oleh bank, sementara alamat e-mail dapat digunakan lebih lanjut untuk serangan phishing,” kata ioa.

 

Editor: Eko Adiwaluyo

Related