satucode[dot]com. Media sosial terutama Facebook saat ini menjadi salah satu jejaring sosial yang paling populer di dunia. Beragam aktivitas dunia maya di lakukan sesorang melalui start up milik Mark zuckerberg ini. Mulai dari yang suka narsis, jualan online, ajang memfitnah ataupun sebagai media berdakwah menjadikan facebook sebagai sarana yang paling mudah untuk untuk mengkoneksikan seseorang dengan orang lain melalui dunia virtual.
 |
| Hacker Ini membeberkan Bagaimana Caranya Meretas Akun Facebook Orang Lain. |
Namun nampaknya kini anda sebagai pengguna facebook harus sedikit merasa cemas, pasalnya seorang peneliti keamanan internet Gurkirat Singh baru baru ini membeberkan bagaimana caranya meretas akun facebook milik orang lain. Melalui postingannya di Twitter Singh, pria asal India yang bermukim di California ini secara gamblang menjelaskan proof of concept nya.
Menurut dia, Facebook saat ini menyimpan duplikat kode untuk beberapa pengguna jika pengguna lebih dari 1.000.000 meminta reset password secara bersamaan. Ini berarti bahwa lebih dari dua orang memiliki kode akses yang sama. Celah inilah yang di gunakan Singh untuk mengakali system facebook..
Sejak ID Facebook mengunakan 15 digit angka random, Singh mengakalinya dengan membuat pertanyaan ke Facebook Graph API untuk melihat ID yang valid. Ini hanya dapat dilakukan melalui aplikasi resmi, dan sekali kecocokan ditemukan, Anda dapat memasukkan ID di URL seperti www.facebook.com/[ID] . URL yang kemudian secara otomatis mengubah ID untuk username. Data ini dikompilasi ke dalam JSON oleh Singh. Untuk menangani masalah IP berubah, Gurkirat Singh hanya menggunakan proxy server yang mendengarkan Permintaan HTTP dan kemudian diberi alamat IP secara acak untuk setiap permintaan. Dia menggunakan script multithreaded untuk mensimulasikan perilaku pengguna saat kode sandi diperlukan. Script meminta passcode untuk setiap pengguna dalam file JSON, Setelah masuk, URL otomatis diarahkan dan mengubah Facebook ID untuk nama pengguna.
Dengan cara ini, pertama, ia mampu membuat daftar 2 Juta nama pengguna Facebook yang valid . "Saya pertama kali dilaporkan bug ini pada 3 Mei, 2016, tetapi Facebook tidak percaya saya seperti eksekusi skala besar bisa saja mungkin. Mereka ingin bukti," kata Singh seperti di lansir dari The Hacker News. "Jadi aku menghabiskan waktu beberapa bulan ini dengan membangun infrastruktur untuk menargetkan 2 juta pengguna Facebook. Saya kemudian kembali menyerahkan bug ini, dan mereka setuju bahwa itu memang adalah sebuah masalah." lanjut Singh.
Kemudian menggunakan ratusan script random proxy dan user-agent, Singh memulai proses permintaan reset password bagi 2 juta pengguna, masing-masing diberikan 6-digit kode reset password. Pada initinya menurut Gurkirat dia membuat script yang mampu membrute force 6 digit kode reset password yang menurutnya merupakan salah satu celah yang bisa di eksploitasi.
Atas aksinya menemukan celah ini, Singh di ganjar hadiah sebesar 500 USD dari Facebook, reward yang termasuk kecil untuk kerentanan yang sangat kritikal seperti ini
Bagaimana Melindungi Akun Facebook Anda ?
Untuk menghindari aksi penggatian password secara tidak sah seperti di atas,pengguna disarankan untuk mengaktifkan " Login Approvals " sebagai lapisan tambahan keamanan untuk mencegah akun Facebook terhadap jenis-jenis serangan seperti ini. Dengan Login Approvals AKTIF, Facebook akan mengirimkan kode keamanan 6-digit melalui pesan teks ke ponsel Anda yang terdaftar jika seseorang mencoba untuk login ke akun Facebook Anda dari komputer baru atau perangkat atau browser web yang berbeda. Jadi, ketika username dan password Facebook Anda yang di targetkan oleh penyerang, makan kode keamanan 6-digit, akan dikirim ke ponsel Anda. Aktifkan juga Login Alerts Notofications, Facebook juga menyediakan fitur keamanan, " Login Alerts ," yang mengirimkan email atau SMS setiap kali ada tindakan yang mencurigakan dari pengguna yang tidak sah yang mengakses akun Anda. Jika akun Facebook Anda diakses dari perangkat lain, Facebook akan mengirim email atau SMS peringatan. Jika itu adalah akses yang tidak sah, Anda dapat dengan cepat mengikuti langkah-langkah yang tercantum dalam email untuk menonaktifkan akses untuk perangkat tersebut. selain itu Gunakan Password Manager: Ini adalah hal umum yang harus dilakukan saran untuk memilih kombinasi password yang kuat dan unik untuk setiap akun online.(andra/sc)
Berita Terkait
