Facebook Akui Ceroboh Simpan 'Ratusan Juta' Kata Sandi Pengguna dalam Format Mudah Dibaca

Raksasa medsos ini menjamin data password tersebut tidak akan bocor ke pihak luar Facebook. Percaya?

|
22 Maret 2019, 4:31pagi

Ilustrasi oleh Kathryn Virginia/Motherboard 

Pada Kamis (21/3), Facebook membenarkan rumor jika mereka menyimpan “ratusan juta” kata sandi pengguna dalam “format yang dapat dibaca”. Itu berarti engineer dan karyawan Facebook lain yang memiliki sistem internal perusahaan dapat melihat kata sandi berupa plaintext.

Melalui keterangan tertulis, jejaring sosial tersebut menyadari kesalahannya saat melakukan "peninjauan keamanan rutin pada Januari." Laporan soal kecerobohan Facebook ini pertama kali dilaporkan oleh Brian Krebs, jurnalis independen yang mendalami keamanan siber.

"Kami ingin menegaskan lebih dulu, bahwa kata sandi yang bocor tidak dapat dilihat oleh siapa pun dari luar manajemen Facebook. Kami sama sekali tidak menemukan bukti ada oknum dari pihak internal yang mengaksesnya sembarangan," tulis juru bicara Facebook.

"Kami memperkirakan akan memberi tahu ratusan juta pengguna Facebook Lite, puluhan juta pengguna Facebook lain, dan puluhan ribu pengguna Instagram. Facebook Lite adalah versi ringan aplikasi Facebook yang sebagian besar penggunanya berasal dari negara dengan koneksi internet yang tidak begitu bagus."

Krebs melaporkan di antara 200 juta hingga 600 juta orang mengalami kebocoran kata sandi, dan beberapa kata sandinya ditemukan dalam arsip sejak 2012 lalu.

Juru bicara Facebook merujuk siaran pers tersebut, ketika diminta memberi tanggapan lewat surel. "Kacau banget nih," kata salah satu karyawan Facebook kepada Motherboard, sembari meminta namanya disamarkan agar tidak dipecat.

“Kami tidak menyimpan sandi pengguna dalam plaintext ‘normal,’" terang karyawan yang bekerja di bagian teknis itu. "Kami menemukan beberapa kasus aneh yang masuk ke dalam plaintext. Kami memperbaiki dan membahas isunya." Motherboard merahasiakan identitas banyak narasumber agar mereka bisa leluasa membicarakan soal insiden keamanan tersebut.

“Harusnya penyimpanan data pengguna seperti ini tidak pernah terjadi,” kata karyawan lain.

Kepada Motherboard, mantan teknisi Facebook ini merasa kejadian ini tidak disengaja.

“Sepertinya ada kesalahan pencatatan. Kasus seperti ini butuh waktu lama untuk ditemukan,” tambahnya. "Jika [organisasi] melindungi akses ke data pengguna dan bidang tak terduga dicatat, isunya tidak mudah ditemukan untuk waktu yang lama karena mereka tidak menangani data mentah."

Mantan karyawan Facebook lainnya memberi tahu Motherboard, "kasus spesifik ini tentu tidak diketahui secara luas. Ini sangat memalukan bahkan bagi pihak internal. Isunya segera ditangani saat ada yang menemukannya."

Perusahaan biasanya melindungi kerahasiaan kata sandi dengan melakukan hashing dan salting dalam database mereka. Dua proses ini menyandikan kata sandi sehingga versi aslinya sulit ditemukan meskipun mereka berhasil mencuri hash-nya.

Facebook bukan satu-satunya raksasa teknologi yang melakukan kesalahan memalukan seperti itu. Baru-baru ini, GitHub dan Twitter juga mengakui bahwa kata sandi pengguna bocor dalam format plaintext di dalam sistem mereka.

Merasa keamanan akun Facebook-mu terancam? Silakan baca panduan kami tentang cara memeriksa apakah akun Facebook kalian memiliki aktivitas yang mencurigakan.


Joseph Cox terlibat dalam liputan ini

Artikel ini pertama kali tayang di Motherboard

More VICE
Vice Channels