Pojok Cyber – Apabila seorang pengguna facebook lupa password
akun facebooknya, maka pengguna Facebook tersebut bisa langsung mengunjungi halaman
khusus untuk recovery yang telah disediakan oleh Facebook.
Maka Facebook akan mengirimkan kode verifikasi sebanyak 6
digit ke alamat email atau nomor ponsel yang digunakan pada akun Facebooknya tersebut,
untuk me-reset kembali password.
Secara teoritis, kode verifikasi tersebut akan sangat sulit dihack
atau dijebol, hal ini dikarenakan Facebook akan memblokir akses ke akun tersebut,
apabila pengguna salah memasukkan kode sebanyak lebih dari 10 kali.
Tetapi, sebagaimana dirangkum oleh Pojok Cyber dari Cnet melalui
KompasTekno yang memberitakannya pada Kamis (10/3/2016), Anand Prakesh, seorang
pemburu bug dan peneliti komputer bug asal India menemukan bahwa metode
recovery password di atas ternyata berlaku hanya untuk domain utama Facebook,
tepatnya di alamat www.Facebook.com.
Prakesh mengutarakan bahwa halaman beta Facebook di domain mbasic.beta.Facebook.com
dan beta.Facebook.com ternyata tidak
dilengkapi proteksi yang serupa sebagaimana pada domain utama Facebook.
Anand Prakesh pun bereksperimen untuk menjebol atau
meng-hack akunnya sendiri dengan metode atau teknik brute force dan dia berhasil
melakukan hack akun facebooknya sendiri. Dia bisa me-reset password dan membuat
kata kunci baru.
Dalam postingan di blog pribadinya yang berisi tentang penjelasan
teknik hacking itu nya, Prakesh menuliskan, "Selanjutnya, saya bisa
menggunakan kata kunci baru tersebut untuk log in ke dalam akun.”
Metode brute force attack seperti yang dilakukan oleh Anand Prakesh
di atas, terbilang enteng untuk hacker, mengingat hampir semua peretas yang berpengalaman
mampu melakukan hal tersebut.
Anand Prakesh Diganjar Rp 200 juta
Kelemahan fatal seperti yang ditemukan oleh Anand Prakesh tentu
akan berimplikasi luar biasa untuk Facebook. Kita bisa membayangkan, bagaimana
jika seorang atau sekelompok hacker bisa dengan mudah memperoleh akses penuh
terhadap akun Facebook seseorang.
Tentu saja hal tersebut termasuk foto, pesan-pesan pribadi, dan
bahkan informasi debit atau kartu kredit yang tersimpan di dalam opsi
pembayaran Facebook.
Anand Prakesh, sang peneliti komputer tersebut memang tidak berniat
buruk.
Hasil temuan Prakesh tersebut, dilaporkan kepada Facebook
pada 22 Februari 2016 yang lalu. Pihak pengelola jejaring sosial itu pun bereaksi
cepat dan langsung menambal lubang keamanan sesuai laporan.
Prakesh pun diganjar hadiah uang senilai 15.000 dollar AS
atau hampir Rp 200 juta atas jasanya menemukan risiko sekuriti sebelum sempat
dieksploitasi oleh hacker jahat.
"Hai Anand, setelah me-Review masalah yang Anda laporkan,
kami memutuskan untuk memberi hadiah 15.000 dollar AS yang akan disalurkan
lewat bugbountypayments.com," tulis Facebook kepada Prakesh lewat sebuah
pesan.
Pemberian hadiah bagi penemu celah keamanan merupakan
praktik wajar di kalangan raksasa-raksasa teknologi Silicon Valley. Selain
Facebook, Microsoft dan Google juga melakukan hal serupa.
Sumber: http://tekno.kompas.com/