Bug Facebook itu ditemukan oleh Jack Whitton, a.k.a. Fin1te, hacker asal Inggris yang juga berprofesi sebagai pakar keamanan internet. Celah tersebut memanfaatkan SMS yang terkaintegrasi dengan akun Facebook seseorang.
"Fitur ini memungkinkan Anda bisa update status via SMS, itu berarti selain menggunakan email Anda bisa juga login dengan nomer telepon," tulis Whitton pada blognya.
Nah, celah yang dimaksud oleh Whitton adalah bug yang terdapat pada halaman PHP untuk verifikasi nomer telepon. Ia hanya perlu melakukan 2 langkah sebelum bisa mengambil akun Facebook targetnya
Caranya, pertama-tama ia coba mendaftarkan diri melalui SMS, contoh format yang dipakai di Amerika adalah fb kirim ke 32654. Nomor ini berbeda di masing-masing negara.
Setelah mengirimkan SMS ke Facebook, dalam beberapa saat Whitton akan mendapatkan balasan otomatis dari sistem. Dari pesan tersebut kemudian ia memodifikasi elemen profile_id, yakni salah satu komponen identitas warga Facebook.
Pesan yang sudah dimanipulasi itu kemudian akan membuat sistem Facebook memberikan opsi reset password. Nah, dari sini peretas bisa meminta password baru untuk ID yang ia masukan sebelumnya.
Seperti dikutip detikINET dari Information Week, Senin (30/6/2013), untungnya Whitton langsung memberitahu Facebook soal celah tersebut saat ditemukan 23 Mei lalu. Dan dalam 5 hari Facebook langsung menambal lubang tersebut.
Alhasil, kini celah tersebut sudah tidak bisa dimanfaatkan lagi, dan Whitton mendapatkan ucapan terimakasih dari Facebook berupa uang senilai USD 20 ribu.
"Hadiah USD 20 ribu menunjukan betapa seriusnya celah tersebut. Kini sistem Facebook tidak lagi menerima parameter profile_id dari pengguna," tungkas Whitton.
(eno/tyo)