Judul : Terancam di Salahgunakan, 50 Juta Akun Facebook Berhasil di Retas
link : Terancam di Salahgunakan, 50 Juta Akun Facebook Berhasil di Retas
Terancam di Salahgunakan, 50 Juta Akun Facebook Berhasil di Retas
Beberapa hari yang lalu Facebook mengungkapkan celah keamanan telah tersebar luas yang memungkinkan peretas untuk mengakses akun pengguna dengan mengambil token keamanan mereka. Cacat mempengaruhi sebanyak 50 juta orang, dan Facebook mengatakan bahwa secara paksa membuat sekitar 90 juta pengguna masuk kembali ke akun mereka hari ini sepenuhnya agar aman. Perusahaan mengatakan itu karena selain akun yang terkena dampak, sekitar 40 juta orang tambahan hanya menggunakan fitur yang dieksploitasi sejak exploit aktif mulai Juli 2017.Ia juga mengatakan bahwa hal itu memperbaiki masalah dan memperingatkan penegak hukum, yang menunjukkan bahwa ini bukan kesalahan teknis, tetapi eksploitasi bertujuan ditemukan dan digunakan oleh beberapa organisasi atau peretas pihak ketiga. Perusahaan itu mengatakan tim tekniknya dibuat sadar akan isu ini pada 25 September, tetapi Guy Rosen, wakil presiden manajemen produk Facebook, mengatakan tidak jelas apakah akun dikompromikan, ketika masalah itu dieksploitasi, atau yang mungkin berada di balik serangan itu.
"Pada hari Selasa, kami menemukan bahwa seorang penyerang mengeksploitasi kerentanan teknis untuk mencuri token akses yang akan memungkinkan mereka untuk masuk ke sekitar 50 juta akun orang di Facebook," tulis CEO Mark Zuckerberg dalam posting ke halaman Facebook pribadinya. "Kami belum tahu apakah akun ini disalahgunakan tetapi kami terus melihat ke dalam ini dan akan memperbarui ketika kami mempelajari lebih lanjut."
Kelemahan ini dapat membiarkan seseorang mengeksploitasi fitur "Tampilan As", yang memungkinkan Anda melihat profil Anda sendiri sebagaimana yang terlihat oleh pengguna lain atau kepada publik, sebagai cara mengevaluasi pengaturan berbagi spesifik Anda. Namun, tampaknya fitur tersebut secara tidak sengaja memaparkan token keamanan Facebook ketika seseorang memilih profil sebagai target Tampilan As yang diinginkan. Itu akan memungkinkan seseorang mendapatkan akses ke akun orang itu. Token akses Facebook adalah kunci digital yang memungkinkan pengguna ponsel untuk masuk ke akun mereka tanpa harus mengetik ulang kata sandi mereka.
Dengan akses penuh ke akun pengguna, para penyerang bisa menggunakan aplikasi pihak ketiga yang masuk melalui Facebook, perusahaan mengatakan Jumat malam.
Selain membuat 90 juta pengguna masuk kembali hari ini, Facebook mengatakan itu juga menonaktifkan fitur Lihat Sebagai "ketika melakukan tinjauan keamanan menyeluruh." Perusahaan ini memberikan sedikit analisis teknis tentang bagaimana exploit bekerja, tetapi masih ada t banyak detail konkret di sini :
Serangan ini mengeksploitasi interaksi kompleks berbagai masalah dalam kode kami. Ini berasal dari perubahan yang kami buat pada fitur pengunggahan video kami pada bulan Juli 2017, yang berdampak pada "Tampilan As." Para penyerang tidak hanya perlu menemukan kerentanan ini dan menggunakannya untuk mendapatkan token akses, mereka kemudian harus beralih dari akun tersebut ke yang lain mencuri lebih banyak token.
Saat melakukan panggilan dengan wartawan setelah pengumuman, Facebook mengatakan bahwa "fitur pengunggahan video" pada bulan Juli tahun lalu terkait dengan alat yang memungkinkan pengguna mengunggah video ulang dengan cara yang memungkinkan fitur Tampilan Sebagai untuk memaparkan informasi aman, tetapi hanya ketika berinteraksi dengan dua bug lainnya. Perusahaan juga menegaskan bahwa tidak ada informasi kartu kredit yang terekspos.
Berita tentang eksploitasi keamanan ini muncul hanya beberapa jam setelah peretas Taiwan terkemuka dengan nama Chang Chi-yuan berjanji untuk menghapus laman pribadi Zuckerberg pada hari Minggu sebagai cara untuk menunjukkan beberapa jenis celah keamanan di Facebook, kecakapan Chang sebagai peretas, atau keduanya . Tidak segera jelas apakah masalah yang memengaruhi fitur Tampilan Seperti Facebook adalah salah satu yang dimaksudkan Chang untuk dieksploitasi, tetapi waktunya memiliki beberapa kecurigaan bahwa mereka dapat dikaitkan.
Facebook mengatakan pada panggilan dengan wartawan hari ini bahwa eksploitasi Lihat Sebagai tidak ada hubungannya dengan aksi Chang, yang menurutnya direncanakan untuk streaming di Facebook Live. Kemudian pada hari itu, Chang mundur dari janjinya, menulis di halaman pribadinya bahwa dia "melaporkan bug ke Facebook dan saya akan menunjukkan bukti ketika saya mendapatkan hadiah."
Keprihatinan yang lebih mendesak untuk Facebook adalah tidak adanya petugas keamanan kepala, setelah mantan CSO Alex Stamos meninggalkan perusahaan itu bulan lalu. Setelah kepergian Stamos, Facebook mengatakan tidak akan mengisi peran CSO dan malah akan merestrukturisasi organisasi keamanannya dan menanamkan spesialis melalui banyak divisi. Seorang juru bicara Facebook mengatakan pada saat itu bahwa perusahaan akan "terus mengevaluasi struktur seperti apa yang berfungsi paling baik" untuk melindungi keamanan pengguna.
Mengikuti liputan luas tentang eksploit, pengguna Facebook mulai melaporkan bahwa jejaring sosial memblokir tautan berita terkait peretasan dari The Associated Press dan The Guardian, yang menyebabkan lebih banyak kritik sinis terhadap perusahaan untuk menganggapnya sengaja menekan berita negatif tentang dirinya sendiri pada platform sendiri.
Facebook kemudian menegaskan kepada The Verge bahwa kisah-kisah itu dibagikan begitu sering sehingga mereka tersandung alat deteksi spam internal perusahaan. "Kami memperbaiki masalah itu segera setelah kami disadarinya, dan orang-orang harus dapat berbagi kedua artikel itu," kata perusahaan itu. "Kami minta maaf atas ketidaknyamanannya."
0 Response to "Terancam di Salahgunakan, 50 Juta Akun Facebook Berhasil di Retas"
Post a Comment