Facebook membiarkan jutaan kata sandi pengguna dapat dibaca oleh karyawannya selama bertahun-tahun, kata perusahaan itu, sebuah pengakuan yang diberikan setelah seorang peneliti keamanan memposting tentang masalah ini secara online.
Dengan menyimpan kata sandi dalam teks biasa yang dapat dibaca manusia, Facebook melanggar praktik keamanan komputer yang mendasar. Ia meminta organisasi dan situs web untuk menyimpan kata sandi dalam bentuk acak sehingga hampir mustahil untuk memulihkan teks aslinya.
“Tidak ada alasan sah mengapa siapa pun di organisasi, terutama sebesar Facebook, harus memiliki akses ke kata sandi pengguna dalam teks biasa,” kata pakar keamanan siber Andrei Barysevich dari Recorded Future.
Tonton berita terkini di Channel 7 atau streaming gratis 7 ditambah >>
Facebook mengatakan pada hari Kamis bahwa tidak ada bukti bahwa karyawannya telah menyalahgunakan akses ke data ini. Tapi ribuan karyawan bisa saja menggeledahnya.
Perusahaan mengatakan kata sandi tersebut disimpan di server internal perusahaan, di mana tidak ada pihak luar yang dapat mengaksesnya.
Insiden ini mengungkap pengawasan besar dan mendasar lainnya dari sebuah perusahaan yang bersikeras bahwa mereka adalah penjaga yang bertanggung jawab atas data pribadi 2,2 miliar penggunanya di seluruh dunia.
Blog keamanan KrebsOnSecurity mengatakan Facebook mungkin telah membiarkan kata sandi sekitar 600 juta pengguna Facebook rentan.
Dalam sebuah postingan blog, Facebook mengatakan kemungkinan akan memberi tahu “ratusan juta” pengguna Facebook Lite, jutaan pengguna Facebook, dan puluhan ribu pengguna Instagram bahwa kata sandi mereka disimpan dalam teks biasa.
Facebook Lite adalah versi yang dirancang untuk orang-orang dengan ponsel lama atau koneksi internet berkecepatan rendah. Hal ini terutama digunakan di negara-negara berkembang.
Pekan lalu, CEO Facebook Mark Zuckerberg memaparkan “visi privasi” baru untuk jejaring sosial yang akan menekankan komunikasi pribadi dibandingkan berbagi publik. Perusahaan ingin mendorong sekelompok kecil orang untuk melakukan percakapan terenkripsi yang tidak dapat dibaca oleh Facebook atau pihak luar lainnya.
Namun, fakta bahwa perusahaan gagal melakukan sesuatu yang sederhana seperti mengenkripsi kata sandi menimbulkan pertanyaan tentang kemampuannya dalam menangani masalah enkripsi yang lebih kompleks dengan sempurna – seperti dalam pengiriman pesan.
Facebook mengatakan pihaknya menemukan masalah ini pada bulan Januari. Namun peneliti keamanan Brian Krebs menulis bahwa dalam beberapa kasus sejak tahun 2012, kata sandi telah disimpan dalam teks biasa. Facebook Lite diluncurkan pada tahun 2015 dan Facebook membeli Instagram pada tahun 2012.
Analis keamanan Troy Hunt, yang menjalankan situs pembobolan data haveibeenpwned.com, mengatakan situasi ini memalukan bagi Facebook tetapi tidak ada dampak praktis dan serius kecuali ada musuh yang mendapatkan akses ke kata sandi tersebut. Namun Facebook telah mengalami pelanggaran besar, yang terbaru pada bulan September ketika penyerang memperoleh akses ke sekitar 29 juta akun.
