Iklan
![Facebook dengan tenang menambal Lubang Keamanan Besar-besaran, Jutaan Orang Berpotensi Berpengaruh [Berita] logo facebook 300x300](/f/bd24343f4f3bb25d46bdca3d9c4b43ff.jpg)
Facebook telah mengkonfirmasi klaim yang dibuat oleh Symantec atas jutaan "token akses" yang bocor. Token ini memungkinkan aplikasi untuk mengakses informasi pribadi dan membuat perubahan pada profil, pada dasarnya memberi pihak ketiga "kunci cadangan" untuk informasi profil Anda, foto, dinding dan pesan.
Tidak dikonfirmasi apakah pihak ketiga ini (sebagian besar pengiklan) tahu tentang celah keamanan, meskipun Facebook telah mengatakan kepada Symantec bahwa kelemahannya telah diperbaiki. Akses yang diberikan melalui kunci-kunci ini bahkan dapat digunakan untuk menambang data pribadi pengguna, dengan bukti bahwa kelemahan keamanan dapat terjadi sejak 2007 ketika aplikasi Facebook diluncurkan.
Karyawan Symantec, Nishant Doshi, mengatakan dalam posting blog:
“Kami memperkirakan bahwa hingga April 2011, hampir 100.000 aplikasi memungkinkan kebocoran ini. Kami memperkirakan bahwa selama bertahun-tahun, ratusan ribu aplikasi mungkin secara tidak sengaja membocorkan jutaan token akses ke pihak ketiga.”
Bukan Sony
Token akses diberikan ketika pengguna menginstal aplikasi dan memberikan akses layanan ke informasi profilnya. Biasanya kunci akses kedaluwarsa, meskipun banyak aplikasi meminta kunci akses offline yang tidak akan berubah sampai pengguna menetapkan kata sandi baru.
Meskipun Facebook menggunakan metode otentikasi OAUTH2.0 yang solid, sejumlah skema otentikasi yang lebih lama masih diterima dan pada gilirannya digunakan oleh ribuan aplikasi. Ini adalah aplikasi ini, menggunakan metode keamanan yang ketinggalan zaman yang mungkin secara tidak sengaja membocorkan informasi kepada pihak ketiga.
Nishant menjelaskan:
“Aplikasi menggunakan pengalihan sisi klien untuk mengarahkan pengguna ke kotak dialog izin aplikasi yang sudah dikenal. Kebocoran tidak langsung ini dapat terjadi jika aplikasi tersebut menggunakan API Facebook lawas dan memiliki parameter usang berikut, "return_session = 1" dan "session_version = 3 ″, sebagai bagian dari kode pengalihan mereka."
![Facebook Diam-diam Menambal Lubang Keamanan Besar-besaran, Jutaan Orang Berpotensi Berpengaruh [News] sym fb1](/f/5c2ef1592ca50ef76ab2774a9c6c68c8.jpg)
Jika parameter ini telah digunakan (gambar di atas), Facebook akan mengembalikan permintaan HTTP yang berisi token akses dalam URL. Sebagai bagian dari skema rujukan, URL ini pada gilirannya diteruskan ke pengiklan pihak ketiga, lengkap dengan token akses (gambar di bawah).
![Facebook Diam-diam Menambal Lubang Keamanan Masif, Jutaan Orang Berpotensi Berpengaruh [News] sym fb2](/f/282aa6cabd291fed7cebef3890088b5b.jpg)
Pengguna yang khawatir bahwa kunci aksesnya telah baik dan benar-benar bocor harus segera mengganti kata sandi untuk menyetel ulang token secara otomatis.
Tidak ada berita tentang pelanggaran di blog Facebook resmi, meskipun metode otentikasi aplikasi direvisi sejak itu telah diposting di blog pengembang, membutuhkan semua situs dan aplikasi untuk beralih ke OAUTH2.0.
Apakah Anda paranoid tentang keamanan Internet? Sampaikan pendapat Anda tentang keadaan Facebook saat ini dan keamanan online secara umum di komentar!
Kredit Gambar: Symantec
Tim adalah penulis lepas yang tinggal di Melbourne, Australia. Anda bisa mengikutinya di Twitter.
