Lagi, Kuis Kepribadian Jadi Biang Bocornya Data Pengguna Facebook

Kali ini, aplikasi kuis lain di Facebook bernama "NameTests", diduga memiliki sistem keamanan yang lemah. Sebanyak 120 juta data pengguna Facebook terpapar secara terbuka dan bisa ditemukan oleh siapa saja yang bisa menemukannya.

Penemuan ini diungkapkan pertama kali oleh hacker putih alias "ethical hacker", Inti De Ceukelaire. De Ceukelaire memaparkan jika kasus ini telah dilaporkan ke program Data Abuse Bounty, sebuah sayembara yang digelar Facebook untuk menemukan aplikasi pembocor data pengguna.

Karena tidak pernah mencoba kuis tersebut secara pribadi sebelumnya, mereka mencari aplikasi tersebut di akun teman yang telah menginstalnya. Lantas, mereka melacak bagaimana data pengguna dikoleksi dari aplikasi tersebut. Ternyata, informasi pengguna aplikasi NameTests diperoleh dari alamat URL http://nametests.com/appconfig_user.

Data akun teman yang mereka jadikan uji coba, terpampang di file JavaScript yang mudah saja diminta oleh situs lain untuk kepentingan tertentu. Mereka mencontohkan seorang pengguna Facebook yang mengunjungi situs abal-abal dengan keamanan lemah.

Situs tersebut bisa meminta NameTests apakah pengunjung tersebut memiliki akun Facebook atau tidak. Jika iya, situs abal-abal tadi berpotensi mengunduh sejumlah data dari pengguna tersebut. Selain itu, NameTest juga menyediakan token akses yang bisa memungkinkan situs abal-abal terus menerus mengakses informasi pengguna selama dua bulan.

Informasi yang diambil adalah nama, tanggal lahir, foto, dan daftar teman. Namun, menurut De Ceukelaire, data yang dikais tergantung jenis kuis apa yang diikuti pengguna.

"Tergatung kuis apa yang Anda ambil, JavaScript bisa membocorkan data Facebook ID, nama awal, nama akhir, bahasa, gender, bahasa, tanggal lahir, foto profil, foto sampul, nilai tukar, perangkat yang digunakan, dan juga teman-teman Anda," tulis De Ceukelaire.

Dalam blog Medium De Ceukelaire yang dirangkum KompasTekno via Gizmodo, Jumat (29/6/2018), mereka telah melaporkan ini ke Facebook sejak tanggal 22 April 2018. Delapan hari kemudian, Facebook baru memberikan respon dan mengatakan jika mereka butuh waktu tiga hingga enam bulan untuk menginvestigasi laporan itu.

Bulan berikutnya, De Ceukelaire mengecek apakah Facebook telah menghubungi pengembang NameTests atas kasus ini. Hingga tanggal 25 juni kemarin, tidak ada balasan apapun lagi dari Facebook.

Mereka pun mengecek situs NameTests dan mendapati jika mereka telah melakukan perbaikan. Menurut De Ceukelaire, Facebook membutuhkan waktu kira-kira satu bulan untuk memperbaiki masalah yang mereka temukan.

Juru bicara induk NameTests, Social Sweethearts yang berbasis di Jerman, memberikan tanggapannya.

"Dari investigasi tidak ada bukti yang ditemukan bahwa data pribadi pengguna diumbar kepada pihak ketiga yang ilegal, selain itu tidak ada bukti jika data tersebut disalah gunakan," jelasnya.

Mereka menambahkan jika keamanan data menjadi fokus Social Sweethearts.