Pengguna Feeld, sebuah aplikasi kencan yang ditujukan untuk hubungan alternatif, mungkin saja data sensitif mereka diakses atau diedit, termasuk pesan, foto pribadi, dan rincian orientasi seksual mereka, demikian temuan seorang pakar keamanan siber “kerentanan” keamanan.
Field yang terdaftar di Inggris melaporkan awal bulan ini bahwa penjualan dan keuntungan telah melonjak berkat jutaan unduhan dari pengguna non-monogami, queer, dan kinky di seluruh dunia.
Namun meskipun aplikasi tersebut semakin berkembang secara finansial dan mendapat pujian atas pendekatannya terhadap seksualitas, sebuah perusahaan keamanan siber Inggris mengklaim telah menemukan kelemahan serius dalam sistem Field awal tahun ini.
Field mengatakan kekhawatiran tersebut telah ditangani “sebagai masalah yang mendesak” dan diselesaikan dalam waktu dua bulan, tanpa ada bukti bahwa data pengguna telah disusupi.
Tidak diketahui berapa lama kerentanan tersebut ada sebelum ditemukan. Perusahaan keamanan siber yang berbasis di London, Fortbridge, membicarakan hal ini pada bulan Maret.
Fortbridge menemukan masalah tersebut setelah “uji penetrasi” (istilah industri untuk penilaian keamanan situs web atau aplikasi untuk mengidentifikasi kelemahan yang dapat dieksploitasi oleh penyerang).
Para peneliti menemukan bahwa ada kemungkinan untuk membaca pesan orang lain yang dipertukarkan dalam obrolan di Feeld dan melihat lampiran yang berisi foto dan video seksual eksplisit.
Hal ini dapat dilakukan tanpa menggunakan akun Feeld, selama calon peretas memiliki “ID pengguna aliran” milik pengguna. ID ini mungkin terlihat oleh siapa saja yang dapat melihat profil Anda.
Para peneliti menemukan bahwa meskipun pesan dapat diedit dan dihapus, obrolan yang dihapus pengguna dapat dipulihkan. Foto dan video berbatas waktu sering kali digunakan untuk membagikan gambar eksplisit yang otomatis terhapus setelah dilihat, namun dapat diambil dan dilihat tanpa batas waktu dengan mengakses tautan yang tersedia bagi pengirimnya.
Fortbridge mengatakan kegagalan tersebut memungkinkan peretas mengubah informasi profil seseorang, seperti nama, usia, atau jenis kelamin. Dimungkinkan juga untuk melihat kecocokan orang lain dan secara manual memaksa satu profil untuk menyukai profil lainnya.
Sebuah perusahaan keamanan siber mengatakan kepada Guardian bahwa kelemahan tersebut bisa saja dieksploitasi oleh seseorang yang memiliki “pengetahuan teknis dasar”.
“Meskipun ini bukan bug tercanggih yang kami temukan atau eksploitasi, mengingat basis pengguna Feld yang besar, bug ini jelas merupakan bug yang paling berdampak, dan telah mendorong sejumlah besar pengguna , ”kata Adrian Tiron, mitra pengelola. Jembatan Benteng.
“Dalam industri, merupakan hal yang lumrah bagi perusahaan untuk membagikan hasil penelitian terbaik mereka kepada masyarakat. Kami telah belajar banyak dengan membaca laporan pihak lain, dan sekarang giliran kami untuk memberikan kontribusinya.
“Kami memperhatikan banyak perusahaan yang mengklaim memprioritaskan keamanan, namun sering kali hal tersebut hanya sekedar kata-kata dan diperlukan lebih banyak tindakan.”
Field mengatakan dia tidak membagikan informasi tentang kelemahan keamanan tersebut secara publik, termasuk kepada pengguna, karena dia tidak ingin “mengundang aktor jahat” untuk memanipulasi informasi pribadi.
Perusahaan mengatakan akan berkomunikasi langsung dengan anggota tentang cara memperbaiki masalah ini, dan sedang mempertimbangkan untuk membagikan lebih banyak “pembaruan proaktif” melalui situs web, email, dan aplikasinya di masa mendatang.
Alex Lawrence Archer, pengacara di firma hukum hak data AWO, mengatakan Field dapat menghadapi reaksi lebih lanjut dari regulator data, kata Kantor Komisaris Informasi atau dari pengguna yang diketahui telah mengakses informasi tersebut.
“Jika ini benar, maka fakta bahwa data pribadi, termasuk pesan dan foto pribadi, telah diekspos atau dapat diakses dengan cara ini merupakan prinsip inti GDPR bahwa data harus diproses dengan cara yang aman argumen bahwa itu melanggar mode,” katanya.
“Jika hal tersebut benar, saya berharap ICO akan melakukan investigasi untuk mengetahui apa yang terjadi dan apakah diperlukan tindakan perbaikan atau penegakan hukum.
“Kami tidak tahu apakah foto atau pesan seseorang diakses. Jika ternyata ada yang mengakses, maka oknum tersebut bisa mengambil jalur hukum terhadap Field, misalnya jika mengalami kesusahan.
Lawrence Archer mengatakan kerentanan keamanan juga meningkatkan potensi kekhawatiran mengenai identifikasi kelompok LGBTQ+ di negara-negara yang melarang homoseksualitas.
ICO mengatakan belum menerima laporan pelanggaran data di lapangan. Mr Field mengatakan dia tidak melihat bukti bahwa ada orang yang mengakses data pribadi dan tidak memberi tahu regulator karena pihak ketiga telah menyetujui keputusan untuk tidak melaporkan diri.
Perusahaan menyelidiki masalah yang diangkat oleh Fortbridge pada tanggal 3 Maret dan memperbaikinya pada tanggal 28 Mei, tetapi gagal menyampaikan dengan benar kepada Fortbridge bahwa masalah tersebut telah diselesaikan dan sedang ditinjau oleh pihak ketiga.
Dia mengatakan tidak ada masalah yang belum terselesaikan kecuali non-anggota yang dapat mengakses fitur-fitur premium, dan menambahkan bahwa dia menyambut baik pengujian penetrasi lebih lanjut.
“Keselamatan dan keamanan anggota kami adalah prioritas utama kami dan kami menyambut baik kolaborasi berkelanjutan dengan komunitas peretas etis untuk mengidentifikasi kerentanan. Ini hanya akan memperkuat platform kami untuk masa depan,” kata juru bicara tersebut.
Perusahaan mengatakan sebelumnya tidak dapat menjalankan pengujian seperti yang dilakukan Fortbridge pada sistemnya, namun kini bisa.