Awas, Tombol "Login with Facebook" Jadi Pintu Kebocoran Data

Ada juga situs web BandsInTown, yang menampilkan layanan iklan yang disebut "Amplified".
Ketika pengguna mengunjungi situs BandsInTown yang juga menampilkan Amplified, skrip pengoleksi data juga menempel ke laman situs secara tak kasat mata melalui iframe (bingkai berupa chatbox atau video yang menampilkan laman web lain).

iFrame tersebut terkoneksi dengan aplikasi Facebook, menggunakan token otentikasi, dan kemudian mulai mengambil data pengguna. BandsInTown pun mengklaim telah memperbaiki celah di situsnya tersebut.

Mereka mengaku tidak memberikan data ilegal ke pihak ketiga.

"Dan setelah menerima e-mail dari peneliti tentang potensi kerentanan di dalam skrip yang berjalan di platform kami, kami segera mengambil langkah tepat untuk menyelesaikannya", jelas perwakilan BandsInTown.

Sementara situs lain yang terdampak seperti MongoDB, mengabarkan pada TechCrunch jika mereka merasa kecolongan dengan skrip pelacak yang digunakan pihak ketiga untuk mengumpulkan data pengguna Facebook.

"Kami telah mengidentifikasi sumber skrip tersebut dan melumpuhkannya", terang MongoDB.

Baca juga: 1 Juta Akun Facebook di Indonesia Bocor, Ini Link untuk Mengeceknya

Beberapa situs web lain yang disebut oleh peneliti tertempel skrip pengais data pengguna, mengaku tidak menyematkan pelacak yang dimaksud, sehingga mereka segera memperbaiki kemanan situs web mereka.

"Ketika pengguna mempercayai situs web untuk mengakses profil media sosial mereka, mereka tak hanya menaruh kepercayaan tersebut ke situs web itu, namun juga pihak (pelacak) yang menempel di situs tersebut", jelas Steven Englehardt, peneliti yang mengungkapkan masalah ini.

Facebook bisa saja mengidentifikasi pelacak tersebut dan mencegah eksploitasi data penggunyanya, dengan mengaudit Application Programming Interface (API), seperti yang telah dilakukan saat ini.

Beberapa hari lalu, API Facebook mulai membantu penggunanya untuk mengetahui apakan akunnya terdampak skandal Cambridge Analytica atau tidak.