Pelanggaran keamanan yang ditemukan oleh para insinyur Facebook (NASDAQ: FB) pada 25 September memungkinkan para penyerang mengambil kendali langsung atas akun pengguna; sekitar 50 juta di antaranya tepatnya.
Pelanggaran Keamanan Facebook Terbaru
Selain 50 juta, Facebook juga mengatakan ada 40 juta akun lain yang berpotensi rentan. Semua mengatakan, perusahaan log out 90 juta akun untuk mencegah kerusakan lebih lanjut.
$config[code] not foundDalam pembaruan keamanan, Facebook mengakui serangan itu mampu mengeksploitasi interaksi kompleks dari berbagai masalah dalam kodenya. Ini muncul dari perubahan yang dilakukan perusahaan terhadap fitur pengunggahan video pada bulan Juli 2017 yang memengaruhi fitur “View As”.
Facebook mengatakan, "Para penyerang tidak hanya perlu menemukan kerentanan ini dan menggunakannya untuk mendapatkan token akses, mereka kemudian harus berputar dari akun itu ke orang lain untuk mencuri lebih banyak token."
Serangan ini tidak mungkin terjadi pada waktu yang lebih buruk bagi Facebook. Perusahaan sedang mencoba untuk meningkatkan keamanannya sebelum pemilihan jangka menengah mendatang sementara pada saat yang sama berusaha untuk pulih dari kegagalan Cambridge Analytica di mana data dari sekitar 87 juta pengguna dibagikan dengan agen konsultasi politik.
Fitur Lihat Sebagai
Fitur View As memungkinkan pengguna untuk melihat bagaimana profil terlihat oleh orang lain.
Para penyerang dapat mengeksploitasi tiga cacat atau bug di fitur "View As". Dalam pembaruan keamanan yang sama, Pedro Canahuati, Wakil Presiden Teknik, Keamanan dan Privasi, mendaftarkan kekurangan itu sebagai berikut:
- View As salah menyediakan kesempatan untuk memposting video.
- Versi baru pengunggah video (antarmuka yang akan disajikan sebagai hasil dari bug pertama), yang diperkenalkan pada Juli 2017, secara salah membuat token akses yang memiliki izin aplikasi seluler Facebook.
- Ketika pengunggah video muncul sebagai bagian dari View As, itu menghasilkan token akses BUKAN untuk pemirsa, tetapi untuk pengguna pemirsa mencari.
Facebook mengatakan telah menonaktifkan fitur View As untuk sementara saat melakukan tinjauan keamanan.
Menipu Facebook untuk Mengeluarkan Token Akses
Dengan kerentanan ini, para penyerang bisa menipu Facebook agar mengeluarkan token akses kepada mereka. Ini memberi mereka akses ke akun pengguna seolah-olah mereka adalah pengguna.
Mereka juga memiliki akses ke layanan yang mungkin didaftarkan pengguna untuk menggunakan Facebook seperti Airbnb, Spotify, Tinder atau aplikasi dan game lainnya.
Facebook telah mengatur ulang token akses dari 50 juta akun yang terpengaruh serta 40 juta akun tambahan yang mungkin rentan.
Jika akun Anda adalah salah satu dari 90 juta yang terpengaruh oleh insiden ini, Anda akan diminta untuk masuk kembali di Facebook dan akun tertaut lainnya.
Siapa yang bertanggung jawab?
Dalam panggilan konferensi (PDF) Guy Rosen, Wakil Presiden Manajemen Produk untuk Facebook mengatakan perusahaan telah memberi tahu penegakan hukum dan bekerja dengan FBI.
Mengenai siapa yang bertanggung jawab, Rosen melanjutkan dengan mengatakan sulit menemukan siapa yang berada di balik serangan itu, dan menambahkan, "Kita mungkin tidak pernah tahu."
Gambar: Facebook
3 Komentar ▼
