INILAHCOM, San Francisco - Facebook menerbitkan pembaruan keamanan yang menjelaskan bahwa tim ahlinya telah menemukan masalah keamanan yang mempengaruhi hampir 50 juta akun.
"Ketika pelaku kejahatan siber mendapat informasi tentang seseorang,biasanya akan digunakan untuk keuntungan finansial," ujar General Manager Kaspersky Lab Asia Tenggara Yeo Siang Tiong, dalam keterangan tertulisnya.
Menurut Facebook, akses token pada dasarnya menjadi kunci untuk akun pengguna. Jika seseorang memiliki akses token, Facebook menganggap pengguna tersebut berwenang untuk memasukkan akun tanpa meminta kode login, kata sandi, dan otentifikasi dua faktor.
Jadi, setelah mencuri 50 juta akses token pengguna, pelaku berpotensi mengakses jutaan akun tersebut. Namun, itu tidak berarti mereka mendapat akses ke kata sandi atau merusak mekanisme otentikasi dua faktor akun pengguna.
Kata sandi masih tetap aman dan otentifikasi dua faktor masih berfungsi sebagaimana seharusnya.
"Oleh karena itu, mencuri token adalah cara untuk melewati pertahanan tersebut," kata Tiong.
"Informasi identitas pribadi seperti nama, tanggal lahir dan nomor ponsel digunakan di banyak bagian dari kehidupan kita, seperti pertanyaan keamanan atau pemeriksaan verifikasi oleh bank, sementara alamat e-mail dapat digunakan lebih lanjut untuk serangan phishing," imbuhnya.
Facebook menjelaskan, penyelidikan atas insiden tersebut masih berada di tahap awal. Tapi untuk saat ini Facebook mencurigai bahwa pelaku menemukan kerentanan dalam fitur 'View As' dan mengeksploitasinya, untuk mendapatkan akses ke 50 juta token akun.
Itulah mengapa Facebook mematikan fitur tersebut, menyetel ulang token otentikasi pengguna terhadap akun, dan kembali menata ulang token untuk 40 juta pengguna lain yang menggunakan fitur tersebut dalam satu tahun terakhir.
Mungkin terdengar seperti pencegahan awal, tapi saat ini, Facebook akan semakin berhati-hati.
Ketika token disetel ulang, kata Tiong, orang yang telah memilikinya tidak dapat mengakses akun tersebut sehingga harus melakukan log in kembali.
"Pelaku tidak memiliki kata sandi log in, jadi meskipun akun Anda awalnya terpengaruh, mereka tidak bisa lagi berpura-pura dan mengakses akun Anda. Facebook berjanji untuk melakukan pembaharuan setelah jelas apa yang sebenarnya terjadi dan apakah ada akun yang disalahgunakan," tambah Tiong.
Tidak ada komentar:
Posting Komentar