Masih pedih dari tumpukan nomor telepon milik 500 juta pengguna Facebook bulan lalu, raksasa media sosial itu menghadapi krisis privasi baru yang harus dihadapi: alat yang, dalam skala massal, menautkan akun Facebook yang terkait dengan alamat email, bahkan ketika pengguna pilih pengaturan agar tidak terlihat oleh publik.
Dilansir dari Ars Technica, sebuah video yang beredar pada hari Selasa menunjukkan seorang peneliti mendemonstrasikan alat bernama Facebook Email Search v1.0, yang katanya dapat menautkan akun Facebook sebanyak 5 juta alamat email per hari.
Peneliti, yang mengatakan dia go public setelah Facebook menganggap kelemahan tersebut tidak cukup “penting” untuk diperbaiki.
“Seperti yang Anda lihat dari log keluaran di sini, saya mendapatkan hasil yang signifikan dari mereka,” kata peneliti saat video menunjukkan alat yang mengolah daftar alamat.” Saya telah menghabiskan mungkin $ 0 untuk membeli 200 akun Facebook. Dan dalam tiga menit, saya telah berhasil melakukan ini untuk 6.000 akun [email].”
Dalam sebuah pernyataan, Facebook mengatakan,
“Tampaknya kami secara keliru menutup laporan bug bounty ini sebelum mengarahkan ke tim yang sesuai. Kami menghargai peneliti yang membagikan informasi dan mengambil tindakan awal untuk mengurangi masalah ini sementara kami menindaklanjuti untuk lebih memahami temuan mereka.”
Perwakilan Facebook tidak menanggapi pertanyaan yang menanyakan apakah perusahaan memberi tahu peneliti itu bahwa kerentanan itu tidak cukup penting untuk menjamin perbaikan. Perwakilan tersebut mengatakan para insinyur Facebook yakin mereka telah mengurangi kebocoran dengan menonaktifkan teknik yang ditunjukkan dalam video tersebut.
Peneliti, yang bersifat anonim, mengatakan bahwa Pencarian Email Facebook mengeksploitasi kerentanan front-end yang dia laporkan ke Facebook baru-baru ini tetapi “mereka [Facebook] tidak menganggap cukup penting untuk diperbaiki.”
Awal tahun ini, Facebook memiliki kerentanan serupa yang akhirnya diperbaiki.
“Ini pada dasarnya adalah kerentanan yang sama persis,” kata peneliti. “Dan untuk beberapa alasan, meskipun saya mendemonstrasikan ini ke Facebook dan membuat mereka menyadarinya, mereka telah memberi tahu saya secara langsung bahwa mereka tidak akan mengambil tindakan terhadapnya.”
Facebook telah mendapat kecaman tidak hanya karena menyediakan sarana untuk koleksi data yang sangat besar ini, tetapi juga caranya secara aktif mencoba untuk mempromosikan gagasan bahwa mereka hanya menimbulkan kerugian minimal bagi pengguna Facebook.
Sebuah email yang dikirim Facebook secara tidak sengaja kepada seorang reporter di terbitan Belanda DataNews menginstruksikan orang-orang humas untuk “membingkai ini sebagai masalah industri yang luas dan menormalkan fakta bahwa aktivitas ini terjadi secara teratur.” Facebook juga membuat perbedaan antara scraping, hacks atau breaches.
Tidak jelas apakah ada yang secara aktif mengeksploitasi bug ini untuk membangun database besar-besaran, tetapi tentu tidak akan mengejutkan.
“Saya yakin ini merupakan kerentanan yang cukup berbahaya, dan saya ingin bantuan untuk menghentikannya,” kata peneliti.