Kegagalan Keamanan di Facebook - Apa yang Kita Perlu Diketahui

Pelanggaran keamanan terungkap pada 28 September oleh Facebook mempengaruhi puluhan juta akun di jejaring sosial, yang menawarkan lebih dari 2,2 miliar pengguna bulanan. Pada hari Rabu, otoritas data Irlandia mengatakan itu membuka penyelidikan formal mengenai apakah jejaring sosial terbesar di dunia itu mematuhi peraturan privasi baru Uni Eropa yang ketat.
Apa yang terjadi?

Peretas memanfaatkan "interaksi kompleks" antara tiga bug perangkat lunak, yang membutuhkan tingkat kecanggihan. Kerentanan itu dibuat oleh perubahan fitur pengunggahan video pada bulan Juli 2017.

Ini melibatkan cacat dalam "See As" fitur yang menunjukkan Facebook apa profil mereka terlihat seperti orang lain di jejaring sosial. Menggunakan fitur yang dihasilkan kunci digital, yang disebut "token akses," yang memungkinkan pengguna tetap terhubung ke akun mereka tanpa harus memasukkan kata sandi baru.

Peretas dapat mencuri salinan kunci digital, memberi mereka akses dan kontrol akun yang sama sebagai pemilik yang sah. Pada 16 September, Facebook melihat lonjakan aktivitas yang mendorongnya untuk menyelidiki. Pada tanggal 25 September, para insinyur Facebook menentukan para peretas telah meluncurkan serangan canggih yang mengeksploitasi kerentanan. Perbaikan dilakukan dua hari kemudian dan token yang dicuri tidak berguna.

Facebook tidak mengungkapkan ketika peretas pertama mengambil keuntungan dari cacat itu, mengatakan penyelidikan itu lebih awal.

Data apa yang bocor?

Peretas informasi tampaknya tertarik dengan nama, jenis kelamin, dan kota asal, tetapi tidak jelas untuk tujuan apa, kata para eksekutif dalam briefing telepon. Facebook mengatakan masih mencoba untuk mencari tahu apa, jika ada, peretas melakukan pelanggaran akun. Pada awalnya tidak tampak bahwa pesan atau posting dirusak, dan tidak ada akses ke informasi perbankan atau kata sandi, menurut jaringan sosial.

Mengingat bahwa kunci digital membuka lebar pintu Facebook untuk peretas, mereka akan memiliki kemampuan untuk mengakses aplikasi pihak ketiga yang terhubung ke akun jejaring sosial. Mereka akan dapat masuk ke akun terkait termasuk Messenger atau Instagram, keduanya dimiliki oleh Facebook, tetapi tidak ke layanan WhatsApp jaringan sosial.

Analisis log dari aplikasi pihak ketiga tidak menunjukkan tanda-tanda mereka dicampuri oleh peretas, Facebook mengatakan pada 2 Oktober.

Siapa yang perlu khawatir?

Facebook mengatakan bahwa "hingga 50 juta akun" terkena dampak langsung, yang berarti peretas menggesek kunci digital. Menurut Komisi Perlindungan Data di Irlandia, lima juta atau lebih sedikit pengguna Eropa termasuk di antara mereka yang terkena dampak.

Tambahan 40 juta akun yang menggunakan fitur "Tampilan Sebagai" memiliki token yang disetel ulang meskipun tampaknya tidak ditargetkan oleh peretas.

Langkah-langkah yang diambil oleh Facebook?

Facebook mengatakan itu menutup pelanggaran pada 27 September di California, di mana ia memiliki kantor pusatnya, dan memperingatkan otoritas penegak hukum AS serta regulator di Irlandia.

Facebook membatalkan "token akses" yang dipermasalahkan dalam pelanggaran, yang mengharuskan orang untuk masuk kembali dengan kata sandi. Jejaring sosial memberi tahu mereka yang terlibat dengan memposting pesan di atas feed berita.

Apa risiko ke Facebook?

Risiko untuk Facebook tergantung pada bagaimana ia mematuhi berbagai undang-undang dan peraturan, termasuk Peraturan Perlindungan Data Umum yang baru di Eropa. Pertanyaan yang mungkin ditanyakan akan mencakup apakah Facebook cukup cepat memberi tahu pengguna tentang pelanggaran dan seberapa baik akun itu dilindungi.

Perlindungan data masyarakat berada di bawah lingkup Federal Trade Commission di Amerika Serikat, tetapi negara-negara bagian juga mungkin tertarik untuk memastikan kerahasiaan lokal atau undang-undang perlindungan data tidak dilanggar.

Di Eropa, pelanggaran Facebook dan cara penanganannya akan diperiksa melalui lensa GDPR, yang memperkuat perlindungan untuk data pribadi. Perusahaan sekarang dapat didenda persentase dari pendapatan tahunan jika mereka melanggar aturan GDPR. Facebook tampaknya telah memenuhi tenggat waktu 72 jam mengenai pengungkapan retas secara terbuka, yang dapat menghindarkannya lebih dari satu miliar dolar.