Seorang member dari Hacker News mendapati bahwa dengan melakukan pencarian di Google dengan keyword: "inurl:bcode=[*]+n_m=[*] site:facebook.com", akan memberikan link dari sekitar 1,3 juta pengguna Facebook. Beberapa link dapat di gunakan untuk mendapatkan akses ke akun tersebut tanpa perlu password
Link temporer yang di hasilkan oleh Facebook akan expire segera ketika Anda mengkliknya, dan banyak dari link tersebut telah diklik sejak "trik hacking" tersebut teridentifikasi, dan akun tersebut sudah tidak bisa lagi di akses tanpa password. Namun link tersebut masih bisa di manfaatkan untuk melihat alamat email si pemilik akun.
Adalah Nico-roddz di Hacker News, yang mengidentifikasi masalah tersebut, dan mengklaim menemukan bug setelah seorang temannya mengirimkan link."Seorang teman saya memforward email notifikasi grup FB, seperti ini: http://www.facebook.com/n/?groups% [id here]/permalink %[id here]/&mid=[id here]&bcode= [id here]-mjoi&n_m=[email adress here]. Saat saya mengklik url-nya secara otomatis saya login ke akun teman tersebut, jadi jelas ini adalah masalah pada keamanan Facebook" Nico menjelaskan.
Untungnya, Matt Jones dari tim keamanan Facebook melihat berita tersebut dan langsung cepat turun tangan.
"Kami hanya mengirim URL tersebut hanya ke alamat email dari pemilik akun demi kemudahan saja,dan jangan pernah email anda disetting publik(umum). Bahkan kami telah memberikan proteksi di tempat itu guna mengurangi kemungkinan orang lain bisa mengklik ke akun pengguna" Jones menjelaskan.
Jones juga menjelaskan bahwa link tersebut akan expire setelah jangka waktu tertentu. Selain itu, terdapat pemeriksaan keamanan tambahan yang ditetapkan untuk menghindari penyalahgunaan.
Namun, karena pemeriksaan keamanan tambahan tersebut telah cacat, Facebook memutuskan menon-aktifkan fitur tersebut sampai masalah ini benar-benar selesai. Adapun akun-akun yang telah login melalui "celah" ini juga telah diamankan.
Sumber
Tidak ada komentar:
Posting Komentar