Cyberthreat.id – Startup perdagangan saham, Robinhood, menginstruksikan kepada pengguna aplikasi untuk mengubah kata sandi (password) setelah ditemukan kesalahan logging. Kesalahan ini memungkinkan kredensial pelanggan rentan terkespose.

“Pada Senin malam lalu, kami menemukan beberapa kredensial pengguna tersimpan dalam format yang dapat dibaca (plaintext) dalam sistem internal kami,” demikian email yang diterima Reuters, Kamis (25 Juli 2019). Perusahaan pun mengklaim telah mengatasi problem tersebut.

“Setelah peninjauan menyeluruh kami belum menemukan bukti bahwa informasi ini diakses oleh siapa pun di luar tim internal kami,” perusahaan menambahkan, seperti dikutip dari ZDNet.

Robinhood, yang berbasis di Menlo Park, California, Amerika Serikat enggan mengungkapkan berapa jumlah pelanggan yang terpengaruh.

Namun, perusahaan mengklaim telah mengatur ulang kata sandi meskipun tidak menemukan bukti penyalahgunaan. Kata sandi terbaru telah dilakukan hash menggunakan algoritma Bcrypt.

“Kami bertanggung jawab serius dalam hal ini dan memastikan bahwa informasi pelanggan tetap aman,” ujar juru bicara Robinhood, Dan Mahoney.

Aplikasi perdagangan saham Robinhood di AS cukup populer di kalangan generasi muda. Ini adalah layanan web dan seluler yang memungkinkan pengguna bertransaksi tanpa bayar alias gratis, termasuk bertransaksi cryptocurrency.

Saat ini perusahaan telah mendapatkan modal sebesar US$ 323 juta dalam pendanaan Seri E itu. Valuasi perusahaan saat ini mencapai US$ 7,6 miliar atau sekitar 35 persen lebih tinggi dari valuasi sebelumnya. Ini salah satu dari perusahaan startup yang bersaing dengan lembaga keuangan tradisional, khususnya menawarkan layanan digital yang lebih murah dan ramah.

Kejadian yang dialami Robinhood juga pernah dialami Facebook, Instagram, dan Google sebelumnya. Pada Maret lalu, Facebook menyatakan secara terbuka menyimpan kata sandi pengguna dalam bentuk teks untuk ratusan juta pengguna Facebook Lite dan puluhan juta pengguna Facebook.

Dan, pada bulan berikutnya, April, giliran kata sandi Instagram juga tersimpan dalam bentuk plaintext untuk jutaan pengguna.

Sementara, Google mengakui telah menyimpan sejumlah kata sandi dalam teks jelas untuk pengguna G Suite pada Mei lalu. Dan, itu terjadi selama hampir 14 tahun.

Pada tahun lalu, Twitter dan GitHub juga mengalami hal serupa. Mereka mengklaim tidak secara sengaja menyimpan kata sandi pengguna dalam plaintext di log internal.