Perlahan namun pasti, facebook nampaknya sudah mulai mewujudkan ambisinya untuk menghubungkan semua orang. bahkan saat ini hampir di tiap tiap situs situs atau aplikasi web sudah menjadi hal yang umum dengan memasang fitur 'Login dengan Facebook' agar memudahkan membernya untuk mendaftar ke situs situs atau aplikasi web milik seseorang.
Tapi setelah membaca artikel ini, kemungkinan anda akan sedikit ragu untuk login di suatu situs dengan menggunakan fitur login dari facebook ini. yang dikarenakan beberapa Ahli keamanan dari Sakurity.com telah menemukan sebuah Bug atau kerentanan serius di fitur login dari facebook tersebut.
Memang benar kerentanan di fitur login ini tidak dapat memberikan kata sandi dari akun korban kepada peretas. namun si peretas masih dapat mengakses akun korban dengan menggunakan Aplikasi aplikasi di facebook yang dikembangkan oleh pihak ketiga. misalnya situs situs terkenal seperti Bit.ly, Mashable, Vimeo, About.me, Stumbleupon dan lain lain.
Menurut Egor Homakov, seorang peneliti keamanan dari Sakurity.com. Bahwa temuan bug ini sendiri telah di laporkan kepada pihak facebook setahun yang lalu. namun sayangnya facebook sendiri enggan memperbaiki Bug tersebut, dengan alasan khawatir dapat merusak kompabilitas antara facebook dengan situs situs yang mengunakan fitur login tersebut.
Kerentanan ini sendiri di kategorikan sebagai kerentanan Cross-Site-Request-Forgery (CSRF) dan ada beberapa bagian yang harus diperhatikan untuk menambal celah tersebut. yaitu :
-Facebook Login
-Facebook Logout
dan koneksi akun dari pihak ketiga
Menurut Homakov untuk bagian pertama dan kedua, kerentanan tersebut bisa diperbaiki oleh facebook. namun untuk bagian yang ketiga harus diperbaiki oleh pihak ketiga yang menggunakan jasa fitur 'Login facebook' yang terintegrasi ke situs mereka.
Sakurity rilis "Reconnect" tool untuk mengeksploitasi kerentanan di facebook
Pihak Sakurity.com sendiri tampaknya mulai geram dengan ulah facebook yang mengabaikan masalah kerentanan serius ini. sehingga beberapa hari yang lalu, melalui sebuah posting blog di situsnya pihak Sakurity telah merilis sebuah Tool yang dinamakan 'RECONNECT'.
Tool ini diklaim pihak Sakurity dapat membantu si peretas untuk mengeksploitasi kerentanan di fitur 'Login Facebook' dan menghasilkan url yang tepat yang dapat digunakan untuk membajak akun seseorang melalui situs web pihak ketiga yang menggunakan fitur 'Login dengan Facebook' tersebut.
langkah yang dilakukan oleh Pihak Sakurity ini memang menjadi pukulan yang telak bagi facebook. dan dari Homakov sendiri bahkan mengajak para BlackHat untuk mencoba tool Reconnect ini melalui sebuah tweetnya di Twetter. "Ayo Para BlackHat, jangan malu" kicaunya di twetter.
dan tak hanya itu di posting blognya, pihak Sakurity bahkan memberikan sedikit tutorial langkah langkah bagaimana mengunakan tool ReConnect ini untuk membajak akun seseorang. dan dengan tool tersebut si peretas dapat menghasilkan url yang dapat dikirimkan kepada si korban. dan ketika si korban meng-klik link dari Url tersebut secara otomatis men logut akun facebook korban dan mengajak untuk login kembali melalui fitur Login yang telah disediakan oleh siperetas.
"Sekarang akun Facebook kita terhubung ke akun korban di website itu dan kita dapat log in (menggunakan akun korban) dan Langsung bisa untuk mengubah akun email / password korban, membatalkan pemesanan, membaca pesan pribadi dan sebagainya," tulis Homakov dalam posting blog.
Namun tool ini sendiri hanya mampu membuat si peretas membajak akun akun yang sebelumnya telah mendaftar di situs situs yang menggunakan fitur 'Login dengan Facebook' saja. seperti situs Booking.com, Bit.ly, About.me, Stumbleupon, Angel.co, Mashable dan Vimeo.
Tanggapan dari facebook
Facebook sendiri mengatakan telah menanggapi masalah ini untuk beberapa waktu kedepan dan situs situs pihak ketiga juga dapat melindungi akun akun yang menjadi member di situsnya. dengan menggunakan cara praktis di facebook ketika menggunakan Fitur 'Login dengan Facebook' disitus mereka.
Dan melalui juru bicaranya, facebook juga telah memberikan pernyataan resminya.
"hal tersebut merupakan perilaku yang dapat dimengerti. para developer situs dapat mencegah Logn melalui isu terkait dengan mengikuti langkah praktis dan para parameter yang telah disediakan untuk OAuth Login"ujarnya.
Facebook juga mengumumkan bahwa perusahaanya telah memberikan sejumlah perubahan termasuk mencegah peretas Login ke akun seseorang mengunakan eksploitasi CSRF dan mengevaluasi yang lainnya. yang bertujuan untuk melindungi situs situs dalam jumlah yang besar yang menggunakan fitur 'Login dengan Facebook'.
Lalu apa yang dapat dilakukan pengguna.
Setelah melihat penjelasan di atas maka kita dapat mengetahui seberapa berbahayanya tool ReConnect yang dirilis oleh pihak Sakurity ini. karena seperti kita ketahui berapa banyak situs situs yang mengunakan fitur 'Login dengan Facebook' di situsnya.
Dan mengenai pencegahannya, tentu saja anda sebagai pengguna diharuskan untuk waspada. terutama ketika seseorang tak dikenal memberikan anda sebuah Url link tak jelas. sebaiknya jangan di klik.
