Pernyataan mengejutkan baru-baru ini dilontarkan oleh Facebook. Raksasa jejaring sosial itu mengaku bahwa pihaknya keliru dalam menyimpan ratusan juta password sehingga membuatnya tidak dilindungi oleh enkripsi sama sekali, alias masih dalam bentuk plaintext.
Kekeliruan yang dimaksud oleh Facebook adalah menyimpan kata kunci akun milik penggunanya di dalam server internal dengan cara yang menimbulkan risiko besar, dalam hal ini tidak diberi proteksi terhadap ancaman siber. Dampaknya pun memengaruhi sejumlah user media sosial yang dibawahinya.
Perusahaan besutan Mark Zuckerberg itu menyebut kesalahannya itu berdampak pada ratusan juta pengguna Facebook Lite, puluhan juta user Facebook, dan puluhan ribu pemilik akun Instagram. Walau demikian, pihaknya tidak menemukan bukti adanya penyelewengan terhadap password-password tersebut.
“Kami tidak menemukan bukti bahwa ada orang dalam yang melakukan penyelewengan atau mengakses password tersebut secara sembarangan sampai saat ini, password itu sendiri tidak pernah bisa dilihat oleh orang di luar Facebook,” ujar Pedro Canahuati, vice president for engineering, security and privacy Facebook.
Ia menambahkan, para pengguna terdampak akan diberi tahu secara langsung oleh jejaring sosial tersebut. Lebih lanjut, Canahuati mengatakan pihaknya telah memperbaiki kesalahan yang ada, ditambah dengan penanganan terhadap masalah keamanan lain seperti proteksi terhadap password yang digunakan user ketika masuk platform milik Facebook melalui aplikasi lain.
Meski Canahuati menyebut tidak ada masalah terkait kesalahan penyimpanan kata kunci itu, risiko penyalahgunaannya tetap tinggi.
Menurut Brian Krebs, reporter yang fokus pada keamanan siber, riwayat akses menunjukkan ada sekitar 2.000 teknisi atau pengembang yang melakukan kurang lebih 9 juta permintaan secara internal untuk elemen data yang terkandung password user. Dalam pernyataannya itu, ia merujuk ke salah satu ‘orang dalam’ Facebook.
Di samping itu, Information Comissioner’s Office (ICO), lembaga perlindungan data di Inggris, menyatakan bahwa jangan menyimpan password dalam bentuk plaintext. Perusahaan harus memastikan sudah menggunakan mekanisme yang memberikan proteksi terhadap hacker yang mengancam keamanan password.
Sampai saat ini, belum ada sanksi yang dijatuhi kepada Facebook. Menarik untuk ditunggu apakah kecerobohan mereka kali ini bakal berdampak masih seperti saat kasusnya dengan Cambridge Analytica beberapa waktu lalu. [detik]
