Ketika lupa password, seorang pengguna Facebook bisa mengunjungi laman khusus di alamat recovery yang disediakan. Facebook akan mengirim kode verifikasi 6 digit untuk me-reset password ke alamat e-mail atau nomor ponsel yang dimasukkan pengguna.
Kode verifikasi ini sangat sulit dijebol karena Facebook akan memblokir akses apabila pengguna salah memasukkan kode sebanyak lebih dari 10 kali.
Namun, seperti dirangkum Nextren dari Cnet, Jumat (11/3/2016), seorang peneliti komputer dan pemburu bugasal India bernama Anand Prakash menemukan bahwa hal di atas ternyata hanya berlaku untuk domain utama Facebook di alamat www.facebook.com.
Menurut Prakash sang "hacker putih", laman beta Facebook di domain beta.facebook.com dan mbasic.beta.facebook.comternyata tidak dilengkapi proteksi serupa.
Prakash pun mencoba menjebol akunnya sendiri menggunakan teknik brute force dan berhasil. Dia me-reset password dan membuat kata kunci baru.
"Selanjutnya, saya bisa menggunakan kata kunci baru tersebut untuk log in ke dalam akun," tulis Prakash dalam sebuah posting berisi penjelasan teknik hacking itu di dalam blog miliknya.
Teknik brute force macam ini terbilang enteng untuk hackerkarena hampir semua peretas berpengalaman mampu melakukannya.
Diganjar Rp 200 juta
Kelemahan fatal seperti yang ditemukan oleh Prakesh bisa berakibat luar biasa buat Facebook. Bayangkan, Prakash atauhacker bisa dengan mudah memperoleh akses penuh terhadap akun Facebook seseorang.
Ini termasuk pesan-pesan pribadi, foto, bahkan informasi kartu kredit atau debit yang tersimpan di dalam opsi pembayaran Facebook.
Untunglah, peneliti komputer tersebut tak berniat buruk.
Prakash melaporkan temuannya kepada Facebook pada 22 Februari lalu. Pihak pengelola jejaring sosial itu bereaksi cepat dan langsung menambal lubang keamanan sesuai laporan.
Prakash pun diganjar hadiah uang senilai 15.000 dollar AS atau hampir Rp 200 juta atas jasanya menemukan risiko sekuriti sebelum sempat dieksploitasi oleh hacker jahat.
"Hai Anand, setelah me-review masalah yang Anda laporkan, kami memutuskan untuk memberi hadiah 15.000 dollar AS yang akan disalurkan lewat bugbountypayments.com," tulis Facebook kepada Prakash lewat sebuah pesan.
Pemberian hadiah bagi penemu celah keamanan merupakan praktik wajar di kalangan raksasa-raksasa teknologi Silicon Valley. Selain Facebook, Microsoft dan Google juga melakukan hal serupa.
Sumber: Nextren
Discussion about this post