Facebook dan MySpace harus menerima kenyataan bahwa
ada ‘lubang’ keamanan di dalam situs mereka yang memberikan kesempatan kepada
penyusup untuk memperoleh full akses ke account yang memiliki fitur aktif otomatis
login. Kelemahan tersebut ada dalam dokumentasi developer aplikasi Facebook.
Oleh karena adanya akses tidak sah tersebut akan menuju ke alamat IP koraban
dan cookie website, maka intrusi tersebut dimungkinkan tidak bisa dilacak oleh
user.
Setelah penyusup masuk, maka penyusup akan bebas
meng-upload foto dan pesan yang didesain sebagai private tanpa ada indikasi
yang mencurigakan ke semua teman user yang menjadi korban baru. Namun,
untungnya Facebook dan MySpace telah menutup kelemahan tersebut setelah
mengetahui masalah ini. Namun, ternyata penyelesaiannya tidak hanya sekedar
menemukan bug penyebab ‘lubang’ kelemahan, tetapu sepertinya untuk menjaga data
user agar tetap memiliki privasi, sebaiknya situs jejaring social tersebut
harus memastikan keamanan data user juga.
Backdoor yang ditemukan di kedua situs tersebut
merupakan hasil dari kesalahan konfigurasi dari crossdomain.xml, sebuah file
website yang digunakan untuk share content menggunakan Adobe Flash antar
domain. Beberapa domain kemudian dapat diakses dengan mengeluarkan autentikasi
untuk account yang memiliki fitur aktif otomatis login.
Namun, pihak developer Facebook sudah memblokir
akses dari domain utama, namun tidak memperdulikan data sensitive yang dapat
diakses ketika subdomain Facebook digunakan. Sementara dari pihak MySpace juga
sama mengunci dari pintu depan namun membiarkan jendela terbuka dari farm.sproutbuilder.com,
yang memiliki full akses untuk data user. Lubang keamanan tersebut kemudian
dapat dieksploitasi dengan mendorong user meng-instal aplikasi Flash yang
didesain sebenarnya untuk mencuri informasi
autentikasi, ulas developer Facebook
Tidak ada komentar:
Posting Komentar