Baca tanpa iklan
SURYAMALANG.COM - Skandal mengenai kebocoran data tak henti-hentinya menghantam Facebook.
Kasus Cambridge Analyitica yang berhasil mendapatkan sekitar 87 juta data pengguna, seolah hanya awal untuk penyelidikan kasus lain mengenai pencurian data di media sosial tersebut.
Disamping melalui aplikasi ketiga seperti kuis #thisisyourdigitallife buatan Aleksandr Kogan, data pengguna Facebook juga dilaporkan dicuri melalui pelacak Javascript pihak ketiga yang ikut menempel di fitur "Login With Facebook" (masuk dengan Facebook).
Tombol ini sering kita jumpai setiap kali pengguna mengunjungi situs web yang mengharuskan mereka untuk mendaftar.
Untuk mempercepat langkah pendaftaran, kebanyakan orang lebih memilih Login menggunakan akun Facebook.
Pelacak yang terdapat pada tombol itu dapat mengambil informasi data penggunanya , seperti alamat e-mail, usia, gender, lokasi, dan foto profil, tergantung informasi apa yang disediakan oleh para pengguna Facebook.
Ketika pengguna mengklik "Login/Sign-up with Facebook", artinya, mereka mengizinkan situs web yang mereka kunjungi untuk mengakses data profil Facebook mereka.
Meskipun Facebook mengunci fitur tersebut, situs web akan tetap meminta alamat e-mail pengguna dan profil umum seperti nama, umur, gender, lokasi, dan foto profil, yang tidak bisa ditinjau manual oleh Facebook.
Tepat setelah pengguna mengizinkan situs web tersebut mengakses profil Facebooknya, Javascript pihak ketiga akan menempel di laman, yang diproyeksikan sebagai tracker.com pada ilutrasi di bawah ini.
Belum diketahui secara pasti tujuan pengumpulan data-data tersebut.
Namun, jika melihat induk perusahaan pelacak yang tercantum pada gambar di atas, seperti Tealium, AudienceStream, Lytics, dan ProPS, mereka adalah perusahaan pengumpul data yang menjual layanan monetisasi berdasarkan data pengguna yang dikumpulkan.
Dilansir KompasTekno dari TechCrunch, Jumat (20/4/2018), ada sekitar 434 dari 1 juta situs web teratas yang tertempel skrip pelacak, yang digunakan untuk mengumpulkan data pengguna.
Di antara situs web tersebut adalah Fiverr.com dan provider database MongoDB.
Ada juga situs web BandsInTown, yang menampilkan layanan iklan yang disebut "Amplified".
Ketika pengguna mengunjungi situs BandsInTown yang juga menampilkan Amplified, skrip pengoleksi data juga menempel ke laman situs secara tak kasat mata melalui iframe (bingkai berupa chatbox atau video yang menampilkan laman web lain).
iFrame tersebut terkoneksi dengan aplikasi Facebook, menggunakan token otentikasi, dan kemudian mulai mengambil data pengguna.
BandsInTown pun mengklaim telah memperbaiki celah di situsnya tersebut.
Mereka mengaku tidak memberikan data ilegal ke pihak ketiga.
"Dan setelah menerima e-mail dari peneliti tentang potensi kerentanan di dalam skrip yang berjalan di platform kami, kami segera mengambil langkah tepat untuk menyelesaikannya", jelas perwakilan BandsInTown.
Sementara situs lain yang terdampak seperti MongoDB, mengabarkan pada TechCrunch jika mereka merasa kecolongan dengan skrip pelacak yang digunakan pihak ketiga untuk mengumpulkan data pengguna Facebook.
"Kami telah mengidentifikasi sumber skrip tersebut dan melumpuhkannya", terang MongoDB.
Facebook bisa saja mengidentifikasi pelacak tersebut dan mencegah eksploitasi data penggunyanya, dengan mengaudit Application Programming Interface ( API), seperti yang telah dilakukan saat ini.
Beberapa hari lalu, API Facebook mulai membantu penggunanya untuk mengetahui apakah akunnya terkena dampang skandal Cambridge Analytica atau tidak.