Pada tanggal 6 Mei 2021, seorang bug hunter bernama Youssef Sammouda menemukan celah keamanan yang signifikan dalam pengaturan privasi Facebook. Celah ini memungkinkan penyerang untuk mengidentifikasi pengguna Facebook melalui nomor telepon mereka, meskipun pengguna telah mengatur privasi yang ketat. Temuan ini menunjukkan bahwa ada celah di mana penyerang dapat menghubungkan nomor telepon dengan akun Facebook dan mengakses ID pengguna.
Dilansir dari situs secry.me, Sammouda mengungkapkan bahwa ketika menambahkan nomor telepon ke akun Facebook penyerang, situs m.facebook.com/phoneacquire/ akan merespon dengan menampilkan informasi pemilik nomor telepon tersebut, terlepas dari pengaturan privasi yang diterapkan. Celah ini memberi kesempatan bagi penyerang untuk melacak pengguna Facebook berdasarkan nomor telepon mereka, sehingga berpotensi menghilangkan anonimitas pengguna.
Proses Reproduksi Celah Keamanan
Untuk mereproduksi celah keamanan ini, Sammouda melakukan langkah-langkah berikut:
- Mengakses Akun Penyerang: Sammouda masuk ke akun Facebook yang digunakan sebagai penyerang.
- Menambahkan Nomor Telepon Baru: Dia menambahkan nomor telepon baru yang ingin dilacak ke dalam akun tersebut.
- Redirect ke Endpoint Khusus: Tindakan ini mengarahkan Sammouda ke endpoint m.facebook.com/phoneacqwrite/. Di sana, informasi terkait ID pengguna Facebook yang terkait dengan nomor telepon tersebut ditampilkan melalui parameter “giver_id”.
Dampak dan Langkah Penanggulangan
Celah ini menimbulkan risiko besar karena dapat dieksploitasi untuk mendeteksi dan mengidentifikasi pengguna Facebook berdasarkan nomor telepon mereka. Hal ini tentu saja mengancam privasi pengguna dan dapat digunakan untuk tujuan yang tidak bertanggung jawab seperti pencurian identitas atau serangan siber lainnya.
Beruntung, Sammouda segera melaporkan temuan ini kepada Facebook pada tanggal 13 Maret 2021. Hanya dalam waktu empat hari, pada tanggal 17 Maret 2021, Facebook merespons dengan mengakui masalah tersebut. Tak lama setelah itu, pada tanggal 7 April 2021, Facebook berhasil memperbaiki celah ini dan memastikan bahwa informasi pengguna tetap aman dan terjaga. Sebagai bentuk apresiasi, Facebook memberikan hadiah sebesar $9000 kepada Sammouda pada tanggal 26 April 2021, termasuk bonus tambahan.
Keamanan Siber dan Peran Penting Bug Hunter
Penemuan dan pelaporan celah keamanan seperti yang dilakukan oleh Sammouda adalah contoh nyata dari pentingnya peran bug hunter dalam menjaga keamanan siber. Bug hunter atau pemburu bug adalah individu yang secara proaktif mencari dan melaporkan celah keamanan dalam sistem, dengan tujuan untuk memperbaiki dan meningkatkan keamanan data pengguna. Program bounty seperti yang diselenggarakan oleh Meta (perusahaan induk Facebook) mendorong lebih banyak orang untuk berpartisipasi dalam menjaga keamanan platform digital dari ancaman siber.
Pentingnya Menjaga Privasi dan Keamanan Data
Insiden ini menyoroti pentingnya bagi perusahaan teknologi untuk terus memperbarui dan memperkuat sistem keamanan mereka. Dalam era digital yang semakin berkembang pesat, ancaman terhadap privasi dan keamanan data pribadi menjadi semakin kompleks dan sulit dideteksi. Oleh karena itu, partisipasi aktif dari komunitas keamanan siber dan pengguna dalam melaporkan masalah keamanan sangatlah penting.
Selain itu, sebagai pengguna, kita juga harus selalu waspada dan menjaga informasi pribadi dengan baik. Menggunakan kata sandi yang kuat, mengaktifkan verifikasi dua langkah, dan secara teratur memperbarui pengaturan privasi adalah beberapa langkah yang dapat kita ambil untuk melindungi diri dari ancaman siber.
Kesimpulan
Penemuan celah keamanan oleh Youssef Sammouda menjadi peringatan penting bagi kita semua tentang betapa rentannya data pribadi kita di dunia digital. Meskipun Facebook telah mengambil langkah cepat untuk memperbaiki masalah ini, kita tidak boleh lengah dalam menjaga privasi dan keamanan data pribadi kita.
Keamanan siber adalah tanggung jawab bersama, dan kita semua memiliki peran dalam menjaga agar data pribadi dan informasi sensitif tetap terlindungi dari ancaman yang tidak diinginkan.
