LinkedIn Dilaporkan Rentan Kecolongan Data Pengguna

CNNIndonesia, CNN Indonesia | Jumat, 20/04/2018 20:00 WIB
LinkedIn Dilaporkan Rentan Kecolongan Data Pengguna Ilustrasi (REUTERS/Robert Galbraith)
Jakarta, CNN Indonesia -- Linkedin memiliki kerusakan pada sistem plugin pengisian otomatis (AutoFill) dan pada skrip antar situs (cross site scripting - XSS) di situsnya. Sistem pengisian otomatis ini disebutkan mudah disalahgunakan oleh untuk mencuri data pribadi pengguna.

Sistem pengisian otomatis LinkedIn akan mengisikan secara otomatis ke situs pihak ketiga yang sudah masuk daftar putih (whitelist) mereka. Daftar putih ini berisi situs-situs yang dinilai aman dan terpercaya.

Data yang bisa dipindahkan mulai dari nama lengkap, nomor telepon, alamat email, kode pos, tempat bekerja, hingga jabatan nada. Ini berarti hampir semua data yang Anda taruh di LinkedIn bisa diakses.


Masalahnya, cara untuk masuk dalam daftar putih (whitelist) LinkedIn cukup mudah dan sudah tersedia selama bertahun-tahun untuk mereka yang menggunakan Solusi Pemasaran milik LinkedIn. Sehingga, bisa saja situs yang sengaja ingin memanen data pengguna memanfaatkan celah ini.

Bug ini pertama kali ditemukan oleh peneliti keamanan (white hat hacker), Jack Cable. Ia sudah memberitahukan kerentanan ini ke LinkedIn pada tanggal 9 April lalu. Saat itu, LinkedIn langsung memperbaikinya tanpa memberitahukan ke publik.

Meski demikian, Cable bersikeras bahwa kecacatan itu masih ada. Ia lantas melakukan percobaan pada situs pribadinya. Hal ini dilakukan untuk membuktikan fitur pengisian otomatis LinkedIn bisa memunculkan data pribadi pengguna tanpa izin.

"Sangat mungkin bahwa sebuah perusahaan telah menyalahgunakan (celah) ini tanpa sepengetahuan Linkedln," tuturnya seperti dikutip TechCrunch

Meski demikian, pihak Linkedln mengatakan bahwa pihaknya tidak menemukan bukti apapun mengenai kemungkinan data penggunanya akan dieksploitasi.

Setelah laporan tersebut dikirimkan kembali oleh Cable, Linkedln berencana untuk segera meluncurkan perbaikan yang lebih komprehensif yang mencakup pada penelusuran pada "celah" keamanan yang ditemukan oleh peneliti itu.

Mereka juga berencana membatasi akses kepada fitur AutoFill Linkedln tidak akan tersedia pada beberapa daerah dan hanya akan berfungsi pada domain yang terdaftar ke dalam daftar putih sebelumnya.

Skandal soal penggunaan data pribadi menjadi perhatian publik setelah Facebook terkena getahnya. Kali ini perhatian yang sama tertumpah ke Linkedln.

Tapi bukan hanya dua perusahaan teknologi ini yang rentan pencurian data pengguna. Kurang lebih ada sekitar 70 situs web yang memiliki resiko, diantaranya Twitter, Salesforce milik Amazon, dan Twilio.

Pasalnya, sebanyak 84 persen kerentanan sistem XSS diketahui menjadi masalah besar dalam temuan Symantec pada tahun 2008. (btg/eks)


BACA JUGA