TEMPO.CO, Jakarta - Informasi pribadi milik lebih dari 267 juta pengguna Facebook telah diekspos dalam database tanpa jaminan di situs web gelap. Mulai dari Facebook ID, nomor telepon dan nama lengkap dari sebanyak 267.140.436 pengguna Amerika Serikat.

Laporan tersebut ditemukan dalam database perusahaan cybersecurity Comparitech dan peneliti Bob Diachenko yang diterbitkan Kamis, 19 Desember 2019. Laporan itu memperingatkan bahwa orang yang diidentifikasi dalam database dapat ditargetkan oleh pesan spam atau skema phishing.

Mengutip laman Daily Mail, Kamis, 19 Desember 2019, meskipun belum jelas bagaimana informasi sensitif itu diungkapkan, Diachenko melacak database ke Vietnam dan berspekulasi bahwa itu mungkin telah dikompilasi melalui proses ilegal yang disebut scraping.

Proses scraping terjadi di mana bot otomatis menyalin informasi publik dari profil Facebook atau dicuri secara langsung dari API pengembang Facebook.

Akses ke database sejak itu telah dihapus, tapi catatan itu tampaknya telah tersedia tanpa kata sandi untuk siapa pun tanpa otentikasi selama dua minggu sebelum ditemukan. Tautan yang dapat diunduh ke data juga telah diposting ke forum peretas populer.

Pelanggaran keamanan menyusul kebocoran besar terjadi pada September lalu, di mana lebih dari 400 juta nomor telepon pengguna terpapar, kemudian ada skandal besar pada 2018. Terungkap bahwa Cambridge Analytica telah memanen data pribadi jutaan profil pengguna Facebook tanpa persetujuan mereka untuk tujuan iklan politik.

Seorang juru bicara Facebook mengkonfirmasi kepada Daily Mail bahwa database itu telah dihapus dan mengatakan: "Kami sedang menyelidiki masalah ini, tapi kami percaya ini kemungkinan informasi yang diperoleh sebelum perubahan yang kami buat dalam beberapa tahun terakhir untuk lebih melindungi informasi orang."

Facebook menghapus informasi nomor telepon dari API pada April 2018 setelah skandal Cambridge Analytica. Artinya bahwa jumlah yang termasuk dalam database kemungkinan berusia lebih dari 18 bulan.

“Database tersebut pertama kali muncul online pada 4 Desember. Data tersebut dibagikan secara publik di forum untuk peretas pada 12 Desember,” ujar Paul Bischoff dari Comparitech.

Diachenko menemukan database itu pada bulan Desember dan segera melaporkannya ke penyedia layanan internet yang mengelola alamat IP ketika ia menduga data itu milik organisasi kriminal.

Meskipun database itu tidak lagi tersedia secara online pada hari Kamis kemarin, ada kemungkinan bahwa itu disalin di tempat lain sebelum diturunkan, Comparitech memperingatkan. Perusahaan itu mencatat bahwa semua data tampaknya valid.

Masing-masing lebih dari 267 juta catatan yang dibuka termasuk nama lengkap, nomor telepon, cap waktu, dan ID Facebook yang unik. ID Facebook unik, nomor publik yang terkait dengan akun tertentu, yang dapat digunakan untuk menentukan nama pengguna akun dan informasi profil lainnya, menurut Comparitech.

“Para ahli tidak yakin bagaimana informasi itu mendarat di tangan para pencuri dunia maya, tetapi mereka memiliki kecurigaan,” kata Bischoff.

Kemungkinan pertama adalah bahwa peretas mencuri data dari API pengembang Facebook sebelum Facebook membatasi akses ke nomor telepon tahun lalu.

Diachenko mengatakan kepada Comparitech: “API Facebook juga dapat memiliki lubang keamanan yang akan memungkinkan penjahat mengakses ID pengguna dan nomor telepon bahkan setelah akses dibatasi.”

Comparitech menyarankan pengguna untuk mengurangi risiko menjadi sasaran pelanggaran data di masa mendatang dengan memperketat pengaturan keamanan mereka untuk membatasi jumlah informasi yang terlihat oleh publik.

Facebook telah mengalami sejumlah pelanggaran data lainnya dalam setahun terakhir. Database serupa dengan informasi pribadi untuk lebih dari 400 juta pengguna ditemukan pada bulan September. Menurut TechCrunch, 133 juta akun AS, lebih dari 50 juta di Vietnam, dan 18 juta di Inggris adalah di antara 419 juta catatan yang tersisa di server online terbuka yang tidak diamankan dengan kata sandi.

Ini termasuk profil dan nomor telepon beberapa selebritas. Facebook memang mengkonfirmasi laporan itu, tapi mengatakan jumlah total kemungkinan sekitar setengah karena entri duplikat.

DAILY MAIL | TECH CRUNCH