Sejarah memiliki kecenderungan untuk berulang. Beberapa bulan setelah Cambridge Analytica, 120 juta pengguna Facebook dapat mengakses datanya oleh situs web jahat setelah perusahaan kuis memasukkan data seperti nama, jenis kelamin, dan bahkan foto ke dalam Javascript yang dapat diakses dengan mudah. Saat Facebook terus mengaudit ratusan aplikasi pihak ketiga, peretas Inti De Ceukelaire berbagi bagaimana kerentanan keamanan di platform kuis nametests.com dapat mengungkap data 120 juta pengguna.
Penasaran setelah skandal Cambridge Analytica, Ceukelaire memutuskan untuk mengikuti kuis Facebook pertamanya untuk menggunakan keterampilan peretasannya guna melihat bagaimana platform pihak ketiga menggunakan datanya. Dia menggunakan platform yang paling banyak digunakan oleh teman-teman Facebook-nya, nametests.com, dan mengikuti kuis: “Putri Disney Yang Mana?”
Menggunakan latar belakang peretasannya, Ceukelaire mengikuti data dan menemukan informasinya di dalam Javascript yang dapat diakses dengan mudah. Format Javascript dirancang untuk dibagikan, yang berarti bahwa situs apa pun yang Anda kunjungi setelah pengujian dapat mengakses data tersebut. Data tersebut mencakup hal-hal seperti nama pengguna, jenis kelamin, daftar teman. dan berbagi postingan.
Sifat Javascript berarti bahwa seseorang yang mengikuti tes harus mengunjungi situs web berbahaya agar terjadi kebocoran data, jadi kekurangannya tidak berarti bahwa data untuk 120 juta pengguna platform telah disusupi. Aksesibilitas yang mudah dari data itu, bagaimanapun, mengkhawatirkan, kata Ceukelaire. Sebagai contoh dari apa yang bisa terjadi dengan jenis kelemahan keamanan itu, situs porno dapat mengakses daftar teman dan menggunakan daftar teman itu untuk memeras pengguna dengan ancaman pemaparan, saran Ceukelaire.
Setelah mengunjungi halaman web berbahaya itu, data akan dapat diakses hingga dua bulan. Menghapus nametests.com juga tidak menyelesaikan masalah - pengguna juga harus menghapus cookie di perangkat untuk menghentikan akses data.
Sebagai bagian dari program Bounty Penyalahgunaan Data, kerentanan kini telah diperbaiki; Ceukelaire menyumbangkan hadiah itu untuk amal. Nametests mengatakan tidak menemukan apa pun yang menunjukkan bahwa data itu disalahgunakan dan mengatakan akan melakukan tes tambahan untuk menghindari kebocoran data serupa di masa depan. Facebook juga mencabut semua akses ke Nametests, yang berarti pengguna harus memberikan izin aplikasi lagi untuk terus menggunakan kuis.
Tapi mungkin yang lebih membingungkan adalah setelah Cambridge Analatica, dan setelah peneliti data menyarankan bahwa sebagian besar kuis Facebook ada untuk melacak data Anda, dan setelah aplikasi kuis lain terungkap, platform kuis online masih dapat mengatakan bahwa mereka memiliki 120 juta pengguna bulanan. Apakah Anda sedang mencari tahu putri Disney mana yang layak untuk mengizinkan perusahaan lain mengakses data Facebook Anda?
Sudah mengikuti kuis? Cari tahu cara menyesuaikan pengaturan keamanan Anda di sini.