Google sedang dilanda prahara.
Prahara ini dating dari bocornya ratusan ribu data pengguna sehingga dikabarkan mereka akan menutup layanan media sosialnya, Google+e Plus.
Alasannya tak lain karena perusahaan baru saja mengungkap kalau Google+ kebocoran ratusan ribu data pribadi penggunanya.
Dilansir Reuters pada Selasa, penyebab kebocoran data pengguna ditengarai berasal dari sebuah bug API di dalam platform, yang bisa memberikan akses kepada pengembang aplikasi pihak ketiga untuk mengakses profil dan data pribadi pengguna Google+.
Google sendiri mengklaim kalau sampai detik ini belum ada pengembang yang berani untuk mengakses data pengguna dari bug tersebut.
Dalam blog resmi terbaru Google, perusahaan mengungkap berapa banyak data pengguna yang bocor.
Ada sekitarlima ratus akun pengguna yang datanya bocor, sedangkan ada 438 aplikasi pihak ketiga yang kemungkinan bisa saja mengakses data pribadi pengguna dari bug tersebut.
Adapun data yang bocor meliputi nama pengguna, alamat email, pekerjaan, jenis kelamin, dan usia.
“Kami belum menemukan bukti kalau ada pengembang yang sudah sadar akan bug ini, atau menyalahgunakan API. Kami juga belum menemukan ada satu data pun yang disalahgunakan,”ujar VP Engineering Google Ben Smith.
Google sendiri mengakui kalau bug tersebut sebetulnya sudah ditambal sejak Maret 2018.
Tidak dapat dipastikan apakah Google+ bakal ‘hidup’ kembali atau benar-benar dimatikan secara permanen.
Alih-alih demikian, Google nantinya dikabarkan bakal merombak izin akun untuk memungkinkan pengguna memilih data yang ingin dibagikan kepada aplikasi pihak ketiga.
Tak cuma itu, Google juga akan membatasi kemampuan aplikasi pihak ketiga untuk bisa mengakses data penggunanya.
Terlepas dari kabar Google+ yang bakal ditutup karena kebocoran data pengguna, sebuah perusahaan yang menyediakan aplikasi monitoring anak untuk perangkat Android dan iPhone, mSpy, dikabarkan telah membobol jutaan informasi sensitif milik pengguna.
Informasi yang dibobol antara lain adalah riwayat pesan, kata sandi, kontak telepon, hingga lokasi pengguna Android dan iPhone. Semua informasi tersebut dikumpulkan oleh aplikasi mSpy secara diam-diam saat berjalan di background.
Temuan ini pertama kali diketahui oleh peneliti keamanan Nitish Shah. Demikian sebagaimana dikutip dari Softpedia, Minggu.
Shah menemukan bahwa di database internal mSpy terdapat seluruh data dan transaksi milik pengguna. Bahkan, data-data ini bisa diakses secara bebas, tanpa otentikasi apapun.
Shah mengatakan, mSpy terhubung dengan database web termasuk username dan kata sandi ke WhatsApp dan pesan Facebook.
Tidak hanya itu, Shah menyebut, mSpy juga bisa mengakses rekaman real-time serta kunci enkripsi pribadi milik semua pengguna yang login atau membeli lisensi mSpy selama periode enam bulan.
“Saya chatting dengan dukungan mSpy, dan mereka memblokir saya saat saya meminta untuk ngobrol langsung dengan CTO atau kepala keamanan mereka,” kata Shah.
Setelah mengetahui bahwa mSpy tidak berbuat apa-apa atas keluhannya terhadap database yang terekspos, Shah kemudian berbicara dengan ahli keamanan siber Brian Krebs.
Krebs pun mengonfirmasi temuan Shah dan menuliskan laporan tentang hal itu.
Krebs juga mencoba menghubungi mSpy terkait masalah ini. Baru empat hari kemudian, database ini dibuat offline dan Chief Security Officer bernama Andrew merespons keluhan Krebs dan Shah.
“Terima kasih kepada Anda, kami telah mencegah kemungkinan adanya pelanggaran data dan kami menemukan sejumlah email pelanggan dan beberapa data lainnya. Namun, kami menemukan, hanya beberapa data (yang sempat dilanggar),” katanya.
Sekadar diketahui, ini bukan pertama kalinya mSpy membocorkan data pribadi pengguna ke dunia maya. Sebelumnya, mSpy juga sempat diretas pada 2015 dan seluruh database mereka muncul di Dark Web.