Pada hari Jumat, Facebook mengungkapkan bahwa Facebook diretas dan peretas masuk ke server perusahaan serta berpotensi mencuri data hingga 50 juta akun pengguna. Dan kali ini, Facebook mengungkapkan lebih banyak rincian tentang bagaimana peretas mengeksploitasi tiga bug berbeda untuk mendapatkan kemampuan untuk mengendalikan hingga 50 juta akun pengguna.
Jaringan sosial tersebut memaksa 90 juta akun (sekitar 50 juta korban ditambah 40 juta tambahan yang mungkin terpengaruh, menurut perusahaan) untuk logout dan login kembali. Itu terjadi dikarenakan peretas mencuri “token akses” mereka, semacam kunci digital yang dibuat oleh Facebook saat pengguna login dan memungkinkan pengguna tetap login saat aplikasi seluler Facebook ingin membuka bagian lain dari Facebook di dalam browser, misalnya (ini mungkin terjadi ketika pengguna mengklik tautan).
Token akses tidak menyertakan kata sandi pengguna, tetapi karena token itu memungkinkan pengguna tetap login, dan memiliki token akses berarti pengguna dapat sepenuhnya mengendalikan akun.
“Bagian dari situs kami menggunakan mekanisme yang disebut single sign-on yang menciptakan token akses baru,” Guy Rosen, wakil presiden manajemen produk Facebook mengatakan. “Cara kerjanya adalah: katakanlah saya masuk ke dalam aplikasi seluler Facebook dan ingin membuka bagian lain dari Facebook di dalam browser, apa yang akan dilakukan adalah menggunakan fungsi single sign-on untuk menghasilkan token akses itu untuk browser, jadi itu berarti Anda tidak perlu masuk lagi di jendela itu.”
Para peretas memanfaatkan tiga kerentanan berbeda yang dirangkai bersama untuk mencuri token, kata Rosen.
Kerentanan telah ada setidaknya sejak Juli 2017 dan terkait dengan alat “View As” Facebook, yang memungkinkan pengguna untuk melihat profil mereka sendiri seolah-olah pengguna adalah orang lain (ini adalah fitur privasi — memungkinkan, misalnya, pengguna ingin memeriksa apakah mantan atau nenek mereka, atau siapa pun yang ingin mereka sembunyikan dari sesuatu yang dapat dilihat di halaman/profil mereka).
Jika kamu belum pernah menggunakan fitur ini sebelumnya, mungkin sulit untuk membayangkannya.
Pada dasarnya, katakanlah kamu ingin menyembunyikan beberapa postingan dari pacar kamu yang bernama LiSA. Kamu dapat mengubah pengaturan privasi Facebook kamu untuk memungkinkan LiSA hanya dapat melihat postingan tertentu.
Kemudian, untuk memeriksa apakah perubahan pada pengaturan privasi kamu benar-benar berfungsi, kamu dapat menggunakan fitur “View As” untuk melihat profil kamu seolah-olah kamu adalah LiSA. Kamu sebenarnya bukan LiSA, tentu saja, dan kamu tidak memiliki akses ke akunnya — ini hanya sebuah simulasi.
Namun, rantai bug ini akan memungkinkan kamu, jika kamu adalah seorang peretas, untuk memperoleh token akses milik LiSA, lalu masuk ke akunnya menggunakan token itu, sehingga mengambil kendali penuh atas akunnya.
“Penting untuk dikatakan: penyerang dapat menggunakan akun seolah-olah mereka adalah pemegang akun,” kata Rosen.
Bug pertama, Rosen menjelaskan, menyebabkan pengunggah video muncul di halaman “View As” ‘pada jenis posting tertentu yang mendorong orang-orang untuk mengirim ucapan selamat ulang tahun’. Biasanya, pengunggah video seharusnya tidak muncul.
Bug yang kedua menyebabkan pengunggah video ini menghasilkan token akses yang memiliki izin untuk masuk ke aplikasi seluler Facebook, yang mana fitur ini “bukan dimaksudkan untuk digunakan seperti itu,” menurut Rosen.
Bug terakhir, Rosen menjelaskan, adalah ketika pengunggah video muncul sebagai bagian dari fitur “View As”, itu menghasilkan token akses baru bukan untuk pengguna, tetapi untuk orang yang berpura-pura menjadi mereka — pada dasarnya memberikan orang yang menggunakan fitur ini sebagai kunci untuk mengakses akun orang yang mereka simulasikan.
Dalam contoh yang kami berikan di atas, ini tidak hanya memungkinkan kamu melihat profil LiSA menggunakan fitur “View As” LiSA, tetapi juga akan menghasilkan token akses yang memungkinkan kamu masuk dan mengambil alih akun LiSA.
“Itu adalah kombinasi dari tiga bug yang menjadi kerentanan dan sekarang, bug ini ditemukan oleh penyerang,” kata Rosen. “Para penyerang itu, untuk menjalankan serangan, tidak hanya perlu menemukan kerentanan ini, tetapi mereka perlu mendapatkan token akses dan kemudian mem-pivot token akses tersebut ke akun lain dan kemudian mencari pengguna lain untuk mendapatkan token akses lebih lanjut.”
Rosen mengatakan ia percaya bahwa ini adalah serangan yang relatif canggih, terutama untuk mendapatkan hingga 50 juta login yang berbeda: “Ini adalah interaksi kompleks dari beberapa bug yang terjadi bersama-sama,” katanya.
“Kami memang melihat serangan ini digunakan dalam skala yang cukup besar, yaitu bagaimana kami menemukannya dan mulai menyelidiki dan menemukan serangan yang terjadi,” kata Rosen. “Kami tidak tahu persis bagaimana akun disalahgunakan sejauh ini.”
Ryan Stortz, seorang peneliti keamanan di Trail of Bits, mengatakan bahwa Facebook seharusnya memiliki kemampuan untuk menemukan bug ini sebelum peretas melakukannya.
“Saya tidak tahu apa kekurangannya, tetapi jika mereka mengambil alih akun Zuck, itu buruk dan mereka seharusnya memiliki filter write untuk mencegah hal itu,” kata Stortz.
Namun mantan insinyur keamanan Facebook mengatakan ini bukan bug sepele untuk ditemukan.
“Kedengarannya seperti hell-to-find, kode ‘View As’ telah ada untuk sementara waktu jadi saya tidak terkejut itu memiliki beberapa bug,” Zac Morris, yang bekerja di divisi keamanan Facebook dari 2012 hingga 2016, mengatakan. “Tapi memutar itu menjadi token akses penuh sangat mengesankan.”
Morris menambahkan bahwa “sebagai seseorang yang terpengaruh, saya sangat tertarik pada siapa yang melakukannya dan mengapa, [karena] itu adalah laporan bug senilai $30.000, jadi mereka pasti memiliki cara yang lebih baik untuk memonetisasinya, yang sedikit menakutkan.”
Facebook mengatakan telah menonaktifkan fitur “View As” untuk sementara.
