Cyberthreat.id - Social Captain, startup yang membantu meningkatkan jumlah pengikut (followers) Instagram, mengalami kebocoran data ribuan username dan password pengguna Instagram. Social Captain bekerja dengan menghubungkan akun Instagram dengan platform mereka dimana salah satu syarat untuk mendapatkan layanannya adalah menyetorkan username dan password.

Menurut laporan TechCrunch, Social Captain memang telah diketahui menyimpan password pada akun Instagram yang ditautkan dalam plaintext yang tidak dienkripsi.

Dalam ilmu kriptografi, plaintext adalah teks informasi yang merupakan masukan bagi suatu algoritma enkripsi. Plaintext ini dapat dibaca secara normal. Proses mengubah plaintext menjadi ciphertext (teks tersandi) disebut enkripsi dan proses sebaliknya disebut dekripsi.

Akibatnya, setiap pengguna yang dapat melihat kode sumber halaman web pada halaman profil Social Captain bisa melihat username dan password pengguna Instagram. Itu akan terjadi selama mereka telah menghubungkan akun ke platform tersebut.

Masalah ini diperburuk dengan terdapatnya bug pada situs web yang memungkinkan siapapun dapat mengakses profil pengguna Social Captain tanpa harus masuk atau login.

Siapapun, semua orang, dapat mengaksesnya cukup dengan memasukkan ID akun pengguna ke alamat web Social Captain. Itu akan memberikan akses ke akun Social Captain dan login ke akun Instagram.

"Seorang peneliti keamanan yang meminta untuk tidak disebutkan namanya memberi tahu TechCrunch tentang kerentanan itu dan memberikan spreadsheet (dokumen) sekitar 10 ribu akun pengguna (Instagram). Lembar kerja itu memuat sekitar 4.700 set lengkap berisi username dan password Instagram. Sisanya, hanya berisi username dan email," tulis sebuah laporan dikutip TechCrunch, Jumat (31 Januari 2020).

Setelah mendapatkan laporan dan bukti yang cukup, TechCrunch melaporkan kerentanan itu ke pihak Social Captain. Kemudian, Social Captain mengkonfirmasi dan telah memperbaiki kerentanan tersebut.

Chief Executif Social Captain, Anthony Rogers, mengatakan analisis awal menunjukkan bahwa masalah ini memungkinkan seseorang untuk mendapatkan akses tanpa otentikasi berbasis token.

"Masalah ini terjadi selama beberapa pekan terakhir ketika endpoint yang dimaksudkan untuk memfasilitasi integrasi dengan layanan email pihak ketiga dapat diakses tanpa otentikasi berbasis token," ungkapnya.

Rogers juga menuturkan, permasalahan kerentanan ini sedang diinvestigasi dan diselidiki oleh tim terkait. Pihaknya juga akan memberikan informasi kepada pengguna yang terdampak.

"Kami akan memberi tahu pengguna yang mungkin terkena dampak, jika terjadi pelanggaran, (kami) meminta mereka untuk memperbarui kombinasi username dan password yang terdampak."

Redaktur: Arif Rahman