Facebook mengakui bahwa jutaan kata sandi disimpan dalam teks biasa di server internal. Ini menjadi celah keamanan yang membuatnya dapat dibaca oleh karyawan raksasa jejaring sosial itu.
“Agar lebih jelas, kata sandi ini tidak pernah terlihat oleh siapa pun di luar Facebook dan kami belum menemukan bukti sampai saat ini bahwa ada orang yang secara internal menyalahgunakan atau mengaksesnya dengan tidak benar,” kata Wakil Presiden bidang teknik, keamanan, dan privasi Pedro Canahuati dalam posting blog.
Kesalahan itu terungkap selama tinjauan keamanan rutin awal tahun ini, menurut Canahuati.
Dia mengatakan bahwa perusahaan Silicon Valley diharapkan memberi tahu ratusan juta pengguna Facebook Lite, puluhan juta pengguna Facebook lainnya, dan puluhan ribu pengguna Instagram yang kata sandinya mungkin rentan untuk diintip
Kelemahan keamanan dasar terungkap setelah serangkaian kontroversi yang berpusat pada apakah Facebook melindungi privasi dan data penggunanya dengan benar.
Kesalahan pertahanan data dasar juga akan muncul bertentangan dengan mantra “Hacker Way” yang pendiri Facebook Mark Zuckerberg telah mendukung di jejaring sosial.
“One Hacker Way” adalah alamat utama kampus Facebook yang luas di kota California Menlo Park.
Brian Krebs dari KrebsOnSecurity.com mengutip sumber Facebook yang tidak disebutkan namanya, mengatakan penyelidikan internal sejauh ini mengindikasikan bahwa sebanyak enam ratus juta pengguna jaringan sosial memiliki kata sandi akun yang disimpan dalam file teks biasa yang dapat dicari oleh lebih dari dua puluh ribu karyawan.
Jumlah pasti belum ditentukan, tetapi arsip dengan kata sandi pengguna yang tidak terenkripsi ditemukan sejak tujuh tahun lalu, menurut Krebs.
“Kami telah memperbaiki masalah ini dan sebagai tindakan pencegahan kami akan memberi tahu semua orang yang kata sandinya kami temukan disimpan dengan cara ini,” kata Canahuati.
Selain itu, lembaga nonprofit Privacy International menemukan jika sejumlah aplikasi pada perangkat android masih digunakan untuk berbagi data pribadi ke Facebook. Privacy International mencatat setidaknya ada tujuh aplikasi yang masih berbagi data penggunanya kepada Facebook.
Keenam aplikasi tersebut yakni Yelp, Duolingo, Indeed, King James Bible app, Qibla Connect, dan Muslim Pro.
Lembaga yang berbasis di Inggris ini juga menemukan jika aplikasi-aplikasi tersebut merekam informasi mengenai minat pengguna, identitas, hingga rutinitas pengguna yang dikirimkan melali Google Ads.
“Kabar buruknya, enam aplikasi seperti Yelp, Duolingo, King James Bible, Qibla Connect, Muslim Pro, dan Indeed masih mengirimkan data pribadi Anda ke Facebook tanpa persetujuan,” tulis Privacy International dalam laman resminya.
Upaya berbagi data pribadi ke Facebook ternyata bukan soal privasi, namun menyangkut kompetisi antar aplikasi. Privacy International mencatat data yang dikirimkan aplikasi ke Facebook juga mencakup fakta mengenai aplikasi yang terpasang pada ponsel pengguna.
“Karena masih banyak aplikasi yang mengirimkan data seperti itu ke Facebook, hal ini dapat memberikan wawasan yang cukup luas mengenai ekosistem aplikasi tersebut,” sambungnya.
Temuan ini hanya sebagian kecil dari hasil investigasi Privacy International yang mencatat sejumlah aplikasi populer telah menghentikan pengumpulan dan berbagi data tanpa adanya persetujuan pengguna.
Tercatat dua pertiga dari aplikasi yang diuji seperti Spotify, Skyscanner dan KAYAK telah memperbaharui aplikasi mereka dan tidak lagi terhubung dengan Facebook ketika aplikasi tersebut dibuka.
Sebagai upaya tindak lanjut atas temuan tersebut, Privacy international mendesak Facebook untuk mengubah aturan software development kit mereka. SDK dirancang agar secara otomatis mengirimkan data pribadi pengguna ke Facebook ketika membuka aplikasi.
Untuk menghindari data pribadi diambil, Privacy International meminta pengguna secara rutin mengatur ID iklan pada akun mereka. Pengguna diminta teliti memperhatikan izin yang diberikan kepada aplikasi dan memahami betul bagaimana aplikasi tersebut bekerja, khususnya di perangkat Android.
Selain Facebook, mengutip BGR, lembaga ini juga mencatat jika Google melakukan aksi serupa yakni mengumpulkan data pribadi pengguna melalui aplikasi, termasuk pengiklan.
