Kata sandi ratusan juta pengguna Facebook tersedia dalam bentuk teks yang jelas kepada karyawan jaringan online. “Kami berharap dapat memberi tahu ratusan juta pengguna Facebook Lite, puluhan ribu pengguna Facebook, dan puluhan ribu pengguna Instagram,” kata perusahaan itu pada Kamis. Facebook tidak memiliki indikasi bahwa ada orang yang mengaksesnya secara internal dan jahat, katanya. Kata sandinya juga tidak terlihat oleh siapa pun di luar perusahaan.
Pengguna yang terkena dampak tetap harus diberi tahu “sebagai tindakan pencegahan”, meskipun tidak ada indikasi bahwa data tersebut telah disalahgunakan. Kata sandinya seharusnya juga tidak dapat dikenali secara internal. Kesalahan ini terlihat saat pemeriksaan rutin pada bulan Januari. Masalah ini telah diperbaiki – Facebook tidak mengatakan kapan tepatnya.
Facebook Lite adalah versi ramping untuk pengguna jaringan online di wilayah dengan koneksi internet lambat.
Lebih dari 20.000 karyawan mungkin memiliki akses ke kata sandi tersebut
Sesaat sebelum pengumuman Facebook, pakar keamanan TI Brian Krebs melaporkan masalah tersebut di blognya. Dia menulis, mengutip orang dalam Facebook yang tidak disebutkan namanya, bahwa lebih dari 20.000 karyawan jaringan online dapat mengakses kata sandi yang disimpan dalam teks biasa. Sebanyak 200 hingga 600 juta pengguna Facebook mungkin terpengaruh.
File arsip dengan kata sandi yang tidak dikaburkan berasal dari tahun 2012, kata Krebs. Menurut data log, sekitar 2.000 pengembang membuat sekitar sembilan juta kueri internal untuk elemen data yang berisi kata sandi yang tidak dilindungi, tulis pakar keamanan tersebut, mengutip orang dalam perusahaan. Facebook awalnya tidak memberikan informasi apapun mengenai hal ini.
Seorang mantan insinyur Facebook, yang juga menolak disebutkan namanya, mengatakan kepada situs Motherboard bahwa ini terdengar seperti kesalahan yang tidak disengaja. Dan terutama ketika akses ke data pengguna sangat dibatasi di suatu perusahaan, diperlukan waktu lama sebelum kesalahan tersebut ditemukan. Twitter dan situs pemrograman GitHub juga mengakui bug tahun lalu yang menyebabkan kata sandi disimpan secara internal dalam teks biasa.
Insiden bergabung dengan serangkaian pelanggaran data
Facebook berulang kali harus melaporkan pelanggaran data dalam beberapa bulan terakhir. Pada bulan September, misalnya, ratusan aplikasi memiliki akses luas ke foto beberapa juta anggota jaringan online selama beberapa hari. Karena bug lainnya, beberapa juta pengguna mungkin secara tidak sengaja membagikan postingan mereka ke seluruh dunia — bukan hanya dengan teman.
Dan dalam serangan peretas, beberapa data yang sangat pribadi dari 14 juta pengguna dicuri. Ini termasuk 10 tempat terbaru yang mereka laporkan melalui Facebook atau ditandai oleh pengguna lain, dan 15 pencarian terbaru di jaringan online. Para peretas mengeksploitasi kerentanan yang kompleks.