MANAJEMEN-TI.COM— Beberapa hari ini publik Internet dihebohkan dengan berita adanya temuan ratusan juta password facebook user yang disimpan oleh perusahaan raksasa media sosial dunia itu dengan tanpa pengamanan yang memadai. Ratusan juta password dari pengguna platform media sosial terbesar di dunia itu disimpan oleh facebook dalam format teks biasa (plain text) tanpa enkripsi. Sehingga dengan demikian para pegawai facebook pun jadi bisa mengetahui password dari para penggunanya dengan mudah. Hal ini berarti para pegawai internal Facebook dimungkinkan untuk mengakses akun facebook Anda semua pengguna facebook dan berbuat apapun atas nama Anda.
Hal ini pertama kali diungkap oleh Brian Krebs, seorang jurnalis keamanan siber berdasarkan temuan saat Facebook melakukukan pengecekan keamanan rutin Januari 2019 yang lalu. Facebook baru mengakui adanya celah kemanan ini beberapa bulan kemudian, setelah Krebs melaporkan sistem log berpotensi diakses oleh para teknisi dan pengembang Facebook. Krebs mengatakan, bug ini telah ada sejak tahun 2012 lalu yang artinya, data tersebut telah terbuka selama tujuh tahun.
Namun, perwakilan Facebook, Pedro Canahuati mengatakan, meski data password terbuka sekian lama, ia mengklaim tidak ada data yang terlihat oleh orang lain di luar Facebook.
“(Kejadian ini) menjadi perhatian kami karena sistem login kami didesain untuk menutup password menggunakan teknik yang membuatnya tak terbaca,” kata Canahuati.
“Kami menemukan tidak ada bukti hingga hari ini yang mengarah ke penyalahgunaan secara internal atau secara tidak pantas mengakses password pengguna,” ucapnya seperti dikutip Tech Crunch.
Pihaknya menjanjikan akan segera menginformasikan kepada pengguna Facebook, baik pengguna versi Lite maupun reguler.
Tak cuma itu, sejumlah pengguna Instagram yang kemungkinan terdampak juga akan diberi pemberitahuan akan kejadian ini.
Penyesalan Pendiri WhatsApp
Sementara itu salah satu pendiri WhatsApp, Brian Acton, meyakini bahwa WhatsApp dibawah Facebook berbeda dengan WhatsApp yang dulu dia ciptakan. Dan dia juga meragukan rencana Facebook untuk menggabungkan WhatsApp dengan FB Messanger akan sukses. WhatsApp seperti kehilangan ruh dan identitasnya setelah diakuisisi oleh Facebook, lanjutnya.
Acton meninggalkan WhatsApp di 2017. Setahun berikutnya, pendiri lainnya Jan Koum juga meninggalkan WhatsApp dan Facebook. Kedua pendiri tersebut meinnggalkan Facebook karena ketidakcocokannya dengan CEO Facebook Mark Zuckerberg dan COO Sheryl Sandberg. Lebih lanjut bahkan Acton menyesali langkahnya menjual WhatsApp kepada Facebook.
“Pada akhirnya, Saya menjual perusahaan saya. Saya telah menjual privasi para pengguna kami. Saya telah membuat pilihan dan kompromi. Saya kini hidup dengannya setiap hari, “ ungkap Acton sebelumnya pada Forbes.
Kasus Cambridge Analytica
Kita mungkin juga masih ingat tahun lalu dikabarkan bahwa tak kurang dari 87 juta pengguna Facebook dapat diakses oleh perusahaan konsultan politik berbasis di London, yaitu Cambridge Analytica. Diantaranya terdapat sedikitnya 1,1 juta pengguna Facebook asal Indonesia yang ikut dianalisis polanya oleh konsultan politik yang sukses mengantar Donald Trumph ke kursi Presiden AS diluar dugaan banyak pihak.
[Baca juga: VIDEO: Putin Ceramahi Kelly Soal Cybersecurity dan Campur Tangan Negara]
Pelajaran dari Pengamanan Password Facebook
Apa pelajaran yang dapat diambil dari kejadian yang dialami oleh pengelolaan password Facebook dalam kasus ini? Mari kita lihat kasus ini dengan perspektif 3 lapisan pertahanan risiko.
[Baca juga: 3 Lini Pertahanan Risiko]
Lapisan pertahanan pertama adalah dari pemilik risiko (risk owner). Dalam hal manajemen password ini pemilik risiko dari pihak Facebook adalah pihak pengembang aplikasi dan pengelola data pengguna Facebook. Walaupun pihak Facebook mengklaim bahwa aplikasinya tidak menampakkan password kepada usernya namun dengan menyimpan data rahasia seperti password di database dalam keadaan tidak terenkripsi itu adalah sebuah kesalahan fatal yang sangat aneh jika dilakukan oleh aplikasi sekelas Facebook. Apa benar dari aplikasinya tidak melakukan enkripsi password pada database nya? Atau ada tempat lain yang menyimpan data password dalam format teks datar (plain text) yang dapat diakses oleh sebagian pegawai internal Facebook? Yang jelas dengan adanya fakta ratusan juta data password dalam format terbuka seperti itu adalah kelemahan yang sangat fatal pada lini pertahanan risiko lapisan pertama dari raksasa media sosial ini.
Lapisan pertahanan kedua adalah dari fungsi manajemen kepatuhan yang mengawasi aktifitas manajemen risiko dari lini pertahanan lapis pertama diatas. Lini ini tidak terlibat langsung dalam aktifitas pengelolaan risiko keamanan aplikasi dan data facebook, tapi lini ini bertanggung-jawab untuk membantu dalam menentukan strategi, toleransi risiko, struktur manajemen risiko, pengawasan pengelolaan risiko, sampai dengan memastikan kepatuhan dalam rangka pengelolaan risiko yang diterapkan. Kasus kelemahan keamanan Facebook ini menunjukkan tidak berjalan baiknya mekanisme monitoring kepatuhan risiko yang berlaku di perusahaan besutan Mark Zuckerberg ini. Masak iya kelemahan senaif itu sudah berjalan 7 tahun bisa lolos dari pemantauan lini pertahanan lapis kedua ini? Karena pastinya Facebook sudah memiliki standard kebijakan keamanan terkait password ini, hanya lini pertahanan lapis kedua ini gagal dalam memastikan pengelola sistem dan data Facebook ini telah mematuhi standard kebijakan tersebut.
[Baca juga: Langgar Privacy Data, Google Didenda 800 Milyar]
Lapisan pertahanan ketiga adalah dari pihak auditor baik internal maupun eksternal. Temuan ini mengemuka setelah adanya temuan pemeriksaan keamanan rutin yang dilakukan Januari 2019. Padahal kondisi ini sudah berlaku sejak 2012. Mengapa baru mengemuka sekarang? Apakah auditor yang gagal menemukan kesalahan sefatal tersebut atau manajemen (auditee) yang tidak menindak-lanjuti temuan dan rekomendasi auditor?
Yang jelas kondisi ini menunjukkan kelemahan mendasar dari manajemen keamanan yang diterapkan oleh perusahaan sebesar Facebook yang penggunanya sudah lebih dari 1 milyar penduduk dunia ini. Kelemahan yang sangat fatal, karena terindikasi lemah di seluruh lapisan pertahanan risikonya. Adakah konsekuensi-konsekuensi baik legal maupun komersial terhadap kesalahan fatal ini bagi Facebook maupun ratusan juta penggunanya yang terdampak? Kita tunggu saja episode-episode selanjutnya. Bagi kita pengguna Facebook, segera ganti password dan lakukan itu secara periodik.[mti]