Tak Ingin Kecolongan, Facebook Tangguhkan Aksi Firma Analisis

Di sisi lain, Facebook sendiri masih berurusan dengan masalah keamanan data pengguna. Alasannya, bulan lalu seorang peneliti menemukan adanya aplikasi pihak ketiga bernama NameTest yang ditengarai bisa membuat 120 juta data pengguna Facebook terekspos.

Karenanya, agar kasus Cambridge Analytica tidak terulang kembali, Facebook membuat beberapa perubahan terkait privasi data penggunanya.

Salah satunya adalah melakukan proses audit berbagai aplikasi pihak ketiga. Hasilnya, sekitar 200 aplikasi ditangguhkan aksesnya dari Facebook.

Namun, baru-baru ini seorang hacker 'putih' Inti De Ceukelaire menemukan celah keamanan pada aplikasi kuis NameTest.

De Ceukelaire memaparkan, kasus NameTest telah tercatat dalam pelaporan pada program Data Abuse Bounty.

Mengutip laman Gizmodo, De Ceukelaire yang tak pernah memakai kuis tersebut mulai melihat aplikasi ini di Facebook milik sejumlah temannya. Dia pun menjajal kuis lewat aplikasi NameTest.

De Ceukelaire juga mulai mencari tahu bagaimana data pengguna ditangani oleh aplikasi pihak ketiga ini.

Akhirnya, dia menyadari situs web NameTest mengambil informasi pribadinya melalui http://nametests.com/appconfig_user.

Data pribadinya ternyata disimpan dalam file JavaScript yang bisa diminta dengan mudah oleh situs web manapun.

De Ceukelaire memberikan contoh, seorang pengguna Facebook bisa mengunjungi situs porno, dan situs porno itu bisa bertanya ke NameTest apakah pengunjung memiliki profil.

Kemudian, jika ternyata pengunjung punya profil, situs porno yang dimaksud bisa mengunduh sejumlah data tentang pengguna.

Parahnya, NameTest juga akan menyediakan token akses yang memungkinkan situs apapun mengakses informasi terkait unggahan, foto, serta daftar teman selama dua bulan terakhir.

Bukan hanya itu, De Ceukelaire dalam blog-nya menuliskan, "javascript bisa membocorkan akun Facebook, nama depan, nama belakang, bahasa yang digunakan, jenis kelamin, tanggal lahir, foto profil, mata uang, perangkat yang digunakan, serta unggahan yang dipos ke Facebook, sampai ke daftar teman."

Kerentanan NameTest mungkin suatu bentuk kesalahan sederhana, tetapi ini jelas menunjukkan minimnya pengawasan Facebook terhadap data pengguna di tangan ribuan aplikasi pihak ketiga.

Terkait pelaporan yang dilakukannya, De Cekelaire mengatakan, delapan hari setelah dilaporkan, Facebook akhirnya merespon. Facebook menyebut akan meneliti NameTest.

Pada 14 Mei 2018, dia mengecek apakah Facebook sudah menghubungi pengembang NameTest.

Delapan hari kemudian, Facebook mengaku butuh waktu tiga hingga enam bulan untuk menginvestigasi masalah ini.

Pada rentang waktu sepanjang itu, tentu NameTests bisa memperbaiki celah keamanan, masalahpun tak akan tuntas.

Benar saja, pada 25 Juni 2018, De Cekelaire mengetahui NameTest telah memperbaiki celah keamanan.

Namun yang digaris bawahi oleh De Cekelaire, Facebook butuh waktu setidaknya sebulan untuk memperbaiki masalah ini. 

Pihak NameTest melalui perusahaan induknya, Social Sweethearts, menyatakan telah melakukan investigasi terkait kebocoran data tersebut.

"Berdasarkan investigasi yang kami lakukan tidak ada bukti bahwa data pribadi pengguna telah bocor ke pihak lain yang tidak berkepentingan. Tidak ada bukti juga bahwa ada penyalahgunaan," demikian pernyataan dari NameTest.

Pihak NameTest juga berkilah, menurut mereka keamanan data pengguna ditangani dengan sangat serius.

(Dam/Isk)

Saksikan Video Pilihan Berikut Ini: