Salin Artikel

Awas, Tombol "Login with Facebook" Jadi Pintu Kebocoran Data

Selain melalui aplikasi ketiga seperti kuis #thisisyourdigitallife buatan Aleksandr Kogan, data pengguna Facebook dilaporkan dicuri melalui pelacak Javascript pihak ketiga yang ikut menempel di fitur "Login With Facebook" (masuk dengan Facebook).

Tombol ini sering dijumpai setiap kali pengguna mengunjungi situs web yang mengharuskan mereka untuk mendaftar. Untuk mempercepat langkah pendaftaran, mereka bisa login menggunakan akun Facebook.

Bahkan setelah Facebook mengunci fitur tersebut, situs web akan tetap meminta alamat e-mail pengguna dan profil umum seperti nama, umur, gender, lokasi, dan foto profil, tanpa harus ditinjau manual oleh Facebook.

Tepat setelah pengguna mengizinkan situs web tersebut mengakses profil Facebooknya, Javascript pihak ketiga akan menempel di laman, yang diproyeksikan sebagai tracker.com pada ilustrasi di bawah ini.

Belum diketahui akan digunakan untuk tujuan apa data tersebut. Namun, jika melihat induk perusahaan pelacak yang tercantum pada gambar di atas, seperti OnAudience, ProPS, dan lainnya, mereka adalah perusahaan pengepul data yang menjual layanan monetisasi berdasarkan data pengguna yang dikumpulkan.

Update: Pihak Tealium memberikan klarifikasi, kepada KompasTekno, bahwa mereka tidak menggunakan data Facebook seperti yang disebutkan di artikel ini. Software Tealium hanya digunakan dalam internal perusahaan untuk menangani data pengguna mereka sendiri. Tealium sendiri tidak menggunakan data tersebut untuk keperluan apapun dan tidak menjual, membagi, atau menjualnya.

Dilansir KompasTekno dari TechCrunch, Jumat (20/4/2018), ada sekitar 434 dari 1 juta situs web teratas yang tertempel skrip pelacak, yang digunakan untuk mengais data pengguna.
Di antara situs web tersebut adalah Fiverr.com dan provider database MongoDB.

Ada juga situs web BandsInTown, yang menampilkan layanan iklan yang disebut "Amplified".
Ketika pengguna mengunjungi situs BandsInTown yang juga menampilkan Amplified, skrip pengoleksi data juga menempel ke laman situs secara tak kasat mata melalui iframe (bingkai berupa chatbox atau video yang menampilkan laman web lain).

iFrame tersebut terkoneksi dengan aplikasi Facebook, menggunakan token otentikasi, dan kemudian mulai mengambil data pengguna. BandsInTown pun mengklaim telah memperbaiki celah di situsnya tersebut.

Mereka mengaku tidak memberikan data ilegal ke pihak ketiga.

"Dan setelah menerima e-mail dari peneliti tentang potensi kerentanan di dalam skrip yang berjalan di platform kami, kami segera mengambil langkah tepat untuk menyelesaikannya", jelas perwakilan BandsInTown.

Sementara situs lain yang terdampak seperti MongoDB, mengabarkan pada TechCrunch jika mereka merasa kecolongan dengan skrip pelacak yang digunakan pihak ketiga untuk mengumpulkan data pengguna Facebook.

"Kami telah mengidentifikasi sumber skrip tersebut dan melumpuhkannya", terang MongoDB.

Beberapa situs web lain yang disebut oleh peneliti tertempel skrip pengais data pengguna, mengaku tidak menyematkan pelacak yang dimaksud, sehingga mereka segera memperbaiki kemanan situs web mereka.

"Ketika pengguna mempercayai situs web untuk mengakses profil media sosial mereka, mereka tak hanya menaruh kepercayaan tersebut ke situs web itu, namun juga pihak (pelacak) yang menempel di situs tersebut", jelas Steven Englehardt, peneliti yang mengungkapkan masalah ini.

Facebook bisa saja mengidentifikasi pelacak tersebut dan mencegah eksploitasi data penggunyanya, dengan mengaudit Application Programming Interface (API), seperti yang telah dilakukan saat ini.

Beberapa hari lalu, API Facebook mulai membantu penggunanya untuk mengetahui apakan akunnya terdampak skandal Cambridge Analytica atau tidak.

https://tekno.kompas.com/read/2018/04/20/15060007/awas-tombol-login-with-facebook-jadi-pintu-kebocoran-data

Rekomendasi untuk anda
26th

Tulis komentarmu dengan tagar #JernihBerkomentar dan menangkan e-voucher untuk 90 pemenang!

Syarat & Ketentuan
Berkomentarlah secara bijaksana dan bertanggung jawab. Komentar sepenuhnya menjadi tanggung jawab komentator seperti diatur dalam UU ITE
Laporkan Komentar
Terima kasih. Kami sudah menerima laporan Anda. Kami akan menghapus komentar yang bertentangan dengan Panduan Komunitas dan UU ITE.
Close Ads
Verifikasi akun KG Media ID
Verifikasi akun KG Media ID

Periksa kembali dan lengkapi data dirimu.

Data dirimu akan digunakan untuk verifikasi akun ketika kamu membutuhkan bantuan atau ketika ditemukan aktivitas tidak biasa pada akunmu.

Lengkapi Profil
Lengkapi Profil

Segera lengkapi data dirimu untuk ikutan program #JernihBerkomentar.