SingCERT keluarkan nasihat susuli pencerobohan Facebook jejas 50 juta pengguna

SINGAPURA: Pasukan Respons Kecemasan Komputer Singapura (SingCERT) mengeluarkan nasihat kepada para pengguna Facebook hari ini (29 Sep) menyusuli pencerobohan yang menjejas hampir 50 juta pengguna.

Pencerobohan yang diumumkan oleh gergasi media sosial itu pada Jumaat, berlaku sejak Julai 2017, namun hanya dikenal pasti pada Selasa, menurut Facebook.

Dalam nasihatnya, SingCERT menggesa para pengguna supaya berwaspada terhadap percubaan memancing maklumat (phishing) melalui panggilan telefon atau emel yang mencurigakan. Pasukan itu juga menyarankan kepada para pengguna supaya memantau akaun Facebook mereka bagi "tanda-tanda ia disalahgunakan".

Walaupun tiada bukti yang menunjukkan bahawa pengguna perlu menukar kata laluan mereka, SingCERT menyatakan ia adalah satu "amalan keselamatan siber am yang baik" untuk berbuat demikian.

Para pengguna juga digalakkan supaya mengaktifkan pengesahan dua faktor untuk menjaga keselamatan akaun mereka, tambah SingCERT.

Pencerobohan itu membolehkan para penggodam untuk mengeksploitasi kelemahan yang sebelum ini belum dikesan, terdapat pada ciri "view" Facebook, yang membolehkan pengguna untuk melihat profil Facebook mereka dari sudut pengguna lain bagi mendapatkan akses yang tidak dibenarkan kepada akaun pengguna lain.

Kelemahan tersebut mengupayakan penyerang untuk mencuri token akses pengguna, yang kemudiannya boleh digunakan untuk mendapatkan akses ke akaun Facebook dan laman web pihak ketiga lain yang pengguna sudah log masuk menggunakan akaun Facebooknya.

Penyerang boleh mengambil kesempatan daripada kelemahan itu untuk mengakses maklumat peribadi yang disimpan dalam akaun Facebook pengguna, dan dengan menggunakan maklumat tersebut, percubaan untuk menipu dan memancing maklumat kelihatan sungguh meyakinkan, menurut SingCERT.

Facebook menyatakan pada Jumaat bahawa pihaknya sudah mengatasi masalah itu, yang disifatkan oleh ketua eksekutifnya Mark Zuckerberg sebagai "sangat serius". Ia bagaimanapun belum menentukan sama ada penyerang sudah menyalahgunakan sebarang akaun atau mencuri maklumat peribadi.

Ia juga belum mengenal pasti lokasi penyerang atau sama ada ia disasarkan terhadap mangsa tertentu. Semakan awal menggambarkan bahawa sasaran serangan tersebut agak luas.