1 bulan yang lalu
Telset.id – WhatsApp, aplikasi pesan instan milik Meta, baru-baru ini terbukti mempunyai celah keamanan nan memungkinkan nomor telepon 3,5 miliar penggunanya diekstraksi dengan mudah. Peneliti Austria sukses mengungkap kerentanan sistem contact discovery WA nan memungkinkan siapapun memverifikasi keanggotaan dan mengakses info profil pengguna hanya dengan memasukkan nomor telepon.
Tim peneliti dari Austria melakukan penelitian dengan mencoba menambahkan miliaran nomor telepon melalui WA Web, antarmuka browser jasa tersebut. Mereka bisa memverifikasi sekitar 100 juta nomor telepon per jam, mengungkap tidak hanya status keanggotaan tetapi juga foto profil 57% pengguna dan teks profil 29% pengguna lainnya.
Yang mengejutkan, metode nan digunakan peneliti sama persis dengan langkah biasa menambahkan kontak di WhatsApp. “Yang kami lakukan pada dasarnya adalah mencoba menambahkan miliaran nomor – dengan langkah nan sama seperti nan Anda lakukan. Anda menambahkan nomor dan kemudian WA memberi tahu Anda apakah pengguna nomor tersebut mempunyai akun alias tidak, dan menunjukkan foto profil serta teks akun mereka,” jelas para peneliti.
Sejarah Panjang Kerentanan nan Diabaikan
Masalah keamanan ini sebenarnya bukan perihal baru. Meta, perusahaan induk WhatsApp, telah diperingatkan tentang kerentanan ini sejak 2017 oleh peneliti lain. Namun, perusahaan kandas mengambil tindakan apa pun selama bertahun-tahun, membiarkan celah tersebut terbuka untuk dieksploitasi beragam pihak dengan niat jahat.
Baru pada April tahun ini, setelah peneliti Austria melaporkan temuan mereka, Meta akhirnya bertindak. Perusahaan mengimplementasikan rate-limiting pada Oktober untuk mencegah penemuan kontak dalam skala besar seperti nan dilakukan para peneliti. Sayangnya, perlindungan ini datang terlambat setelah bertahun-tahun kerentanan dibiarkan terbuka.
Meta membantah adanya pelanggaran keamanan serius dalam kejadian ini. Perusahaan menegaskan bahwa semua info nan dapat diakses melalui metode tersebut adalah “informasi dasar nan tersedia untuk publik.” Meta juga menyatakan bahwa foto profil dan teks tidak terekspos untuk pengguna nan memilih untuk menjadikannya privat.
Dalam pernyataannya, Meta meyakinkan semua pihak bahwa perusahaan “tidak menemukan bukti tokoh jahat nan menyalahgunakan vektor ini” dan “tidak ada info non-publik nan dapat diakses oleh para peneliti.” Namun, pernyataan ini tidak sepenuhnya menenangkan mengingat sungguh mudahnya info pribadi pengguna dapat diakses.
Kerentanan keamanan WA ini semakin mengkhawatirkan mengingat aplikasi ini digunakan oleh miliaran orang di seluruh dunia. Sebelumnya, pengguna WA bisa sembunyikan alamat IP sebagai upaya perlindungan privasi tambahan, namun celah contact discovery ini menunjukkan perlunya perlindungan nan lebih komprehensif.
Masalah keamanan WA memang bukan perihal baru. Sebelumnya telah dilaporkan bahwa WhatsApp mempunyai 12 kerentanan berbahaya nan perlu diwaspadai oleh pengguna. Celah keamanan terbaru ini semakin menegaskan pentingnya memperbarui aplikasi secara rutin dan menggunakan fitur keamanan nan tersedia.
Bagi pengguna nan mengalami masalah dengan verifikasi, tersedia 8 solusi kode verifikasi WA tidak muncul nan dapat membantu mengamankan akun. Selain itu, pengguna juga perlu memastikan perangkat mereka kompatibel, mengingat HP Android dan iOS jenis tertentu tidak bisa lagi pakai WhatsApp lantaran pembaruan keamanan.
Untuk meningkatkan keamanan data, WA telah meluncurkan backup terenkripsi passkey untuk keamanan ekstra nan dapat membantu melindungi persediaan percakapan pengguna. Fitur ini menjadi semakin krusial mengingat akibat keamanan nan terus bermunculan.
Insiden ini menyoroti pentingnya kesadaran keamanan digital di kalangan pengguna aplikasi pesan instan. Meskipun Meta telah menyatakan tidak ada bukti penyalahgunaan, kebenaran bahwa miliaran nomor telepon dapat diakses dengan mudah selama bertahun-tahun menimbulkan pertanyaan serius tentang komitmen perusahaan terhadap privasi pengguna.
Pengguna disarankan untuk secara rutin memeriksa pengaturan privasi WA mereka, membatasi info nan dapat dilihat publik, dan selalu menggunakan jenis terbaru aplikasi untuk memastikan perlindungan keamanan terbaru telah terpasang.
