Sistem Autofill Rusak, Data Pengguna Aplikasi LinkedIn Rentan Bocor
Ada yang punya akun Linkedin? Tahu enggak sih, kalau Linkedin saat ini lagi mengalami kerusakan pada sistem plugin pengisian otomatis (AutoFill) dan pada skrip antar situs (cross site scripting – XSS) di situsnya?
LinkedIn merupakan jejaring sosial yang punya konsep unik, di mana sebagian besar penggunanya adalah seorang profesional, dan sering dijadikan media untuk memperkenalkan diri ke calon kolega.
Dengan kerusakan pada sistem plugin pengisian otomatis itu, kabarnya akan mudah disalahgunakan untuk mencuri data pribadi pengguna. Jadi, sistem pengisian otomatis LinkedIn itu nantinya akan mengisikan secara otomatis ke situs pihak ketiga yang sudah masuk daftar putih (whitelist) mereka.
Data yang bisa dipindahkan bisa apa aja lho, guys, mulai dari nama lengkap, nomor telepon, alamat email, kode pos, tempat bekerja, hingga jabatan. Ini kan artinya, hampir semua data yang kita taruh di LinkedIn nantinya bisa diakses.
Hampir sama dengan media sosial Facebook yang saat ini masih heboh dengan kebocoran data penggunanya yang disebabkan oleh pihak ketiga, LinkedIn juga cukup mudah membiarkan penggunanya masuk dalam daftar putih (whitelist). Hal ini bisa aja menyebabkan ada situs yang dengan sengaha mengumpulkan data penggunanya.
Permasalahan alias Bug ini pertama kali ditemukan oleh peneliti keamanan (white hat hacker), Jack Cable. Ia sebelumnya udah ngasih tau ke LinkedIn pada 9 April lalu. Saat itu, LinkedIn langsung memperbaikinya tanpa memberitahukan ke publik.
Meski pihak LinkedIn udah nyoba memperbaiki, Cable tetap menemukan kecacatan pada aplikasi itu. Sehingga ia buat percobaan pada situs pribadinya sendiri, demi ngebuktiin bahwa fitur pengisian otomatis LinkedIn bisa memunculkan data pribadi pengguna tanpa izin.
“Sangat mungkin bahwa sebuah perusahaan telah menyalahgunakan (celah) ini tanpa sepengetahuan Linkedln,” ujar Cable seperti dikutip Techcrunch.com.
Meski demikian, pihak Linkedln bilang kalau pihaknya enggak nemuin bukti apapun mengenai kemungkinan data penggunanya akan dieksploitasi. Tapi, setelah laporan tersebut dikirimkan kembali oleh Cable, Linkedln berencana untuk segera meluncurkan perbaikan yang lebih komprehensif.
Mereka juga berencana membatasi akses kepada fitur AutoFill Linkedln, sehingga enggak akan tersedia pada beberapa daerah dan hanya akan berfungsi pada domain yang terdaftar ke dalam daftar putih sebelumnya.
Sebenarnya nih guys, enggak cuman Facebook dan LingkedIn aja yang rentan terjadi pencurian data pengguna. Kurang lebih ada sekitar 70 situs web yang memiliki resiko, diantaranya Twitter, Salesforce milik Amazon, dan Twilio. Makanya, hati-hati dalam menuliskan data pribadi di akun kalian, ya.
