Facebook memastikan sudah menambal celah yang sempat mengekspos jutaan kata sandi (password) pengguna yang tersimpan dalam teks biasa di server internal.
Celah keamanan ini membuat kata sandi pengguna Facebook dan Facebook Lite bisa dibaca oleh para karyawan.
Raksasa media sosial ini mengklaim jika jutaan kata sandi penggunanya tidak diakses oleh pihak di luar perusahaan.
“Kata sandi ini tidak pernah terekspos oleh siapa pun di luar Facebook dan kami tidak menemukan bukti hingga saat ini bahwa ada pihak internal yang menyalahgunakan atau mengaksesnya,” tulis Facebook dalam keterangannya seperti dilansir Reuters.
Lewat blog resminya, Facebook menatakan telah menerapkan sejumlah langkah untuk menyamarkan kata sandi pengguna.
Menggunakan fitur yang dinamakan ‘scrypt’ dan kunci kriptografik untuk mengganti kata sandi pengguna dengan huruf acak.
Facebook mengklaim mereka bisa memvalidasi perintah untuk mengakses akun pengguna tanpa perlu menyimpan kata sandi dalam bentuk teks.
Perusahaan milik Mark Zuckerberg ini juga mengatakan telah melakukan berbagai upaya keamanan, antara lain:
Menggunakan berbagai sinyal untuk mendeteksi aktivitas mencurigakan, contohnya, ketika kata sandi yang dimasukan benar, namun diakses dari perangkat yang tak dikenal, atau di lokasi yang tak diketahui. Facebook akan meminta verifikasi tambahan untuk memastikan pemilik akun adalah asli.
Facebook akan memberi peringatan pada pengguna bila mendeteksi tivitas login dari perangkat atau tempat asing tersebut.
Facebook terus memantau pengumuman kebocoran data dari berbagai organisasi, dan mencocokan kombinasi surel dan kata sandi yang ada pada daftar pengguna Facebook.
Jika ada kecocokan, Facebook akan memberi peringatan setiap pengguna login dan mendorong untuk melakukan penggantian kata sandi.
Terakhir, Facebook telah menambahkan dukungan agar pengguna dapat masuk ke akun melalui kunci fisik, seperti pemindai biometrik, atau perangkat keras berbentuk flashdisk yang dapat menjadi pengganti kata sandi.
Blog keamanan KrebsonSecurity sebelumnya melaporkan jika jutaan kata sandi pengguna bisa diakses oleh 20 ribu karyawan Facebook sejak awal tujuh tahun lalu.
KrebsonSecurity mengutip seorang karyawan senior Facebook mengatakan penyelidikan internal oleh perusahaan menunjukkan sekitar dua ratus hingga enam ratus juta pengguna Facebook kemungkinan terimbas kasus ini.
Sebelumnya Facebook mengakui bahwa jutaan kata sandi disimpan dalam teks biasa di server internal. Ini menjadi celah keamanan yang membuatnya dapat dibaca oleh karyawan raksasa jejaring sosial itu.
“Agar lebih jelas, kata sandi ini tidak pernah terlihat oleh siapa pun di luar Facebook dan kami belum menemukan bukti sampai saat ini bahwa ada orang yang secara internal menyalahgunakan atau mengaksesnya dengan tidak benar,” kata Wakil Presiden bidang teknik, keamanan, dan privasi Pedro Canahuati dalam posting blog,
Kesalahan itu terungkap selama tinjauan keamanan rutin awal tahun ini, menurut Canahuati.
Dia mengatakan bahwa perusahaan Silicon Valley diharapkan memberi tahu ratusan juta pengguna Facebook Lite, puluhan juta pengguna Facebook lainnya, dan puluhan ribu pengguna Instagram yang kata sandinya mungkin rentan untuk diintip
Kelemahan keamanan dasar terungkap setelah serangkaian kontroversi yang berpusat pada apakah Facebook melindungi privasi dan data penggunanya dengan benar.
Kesalahan pertahanan data dasar juga akan muncul bertentangan dengan mantra “Hacker Way” yang pendiri Facebook Mark Zuckerberg telah mendukung di jejaring sosial.
“One Hacker Way” adalah alamat utama kampus Facebook yang luas di kota California Menlo Park.
Brian Krebs dari KrebsOnSecurity.com mengutip sumber Facebook yang tidak disebutkan namanya, mengatakan penyelidikan internal sejauh ini mengindikasikan bahwa sebanyak enam ratus juta pengguna jaringan sosial memiliki kata sandi akun yang disimpan dalam file teks biasa yang dapat dicari oleh lebih dari dua puluh ribukaryawan.
Jumlah pasti belum ditentukan, tetapi arsip dengan kata sandi pengguna yang tidak terenkripsi ditemukan sejak tujuh tahun lalu, menurut Krebs.
“Kami telah memperbaiki masalah ini dan sebagai tindakan pencegahan kami akan memberi tahu semua orang yang kata sandinya kami temukan disimpan dengan cara ini,” kata Canahuati