Bukannya Naikin Follower, Aplikasi Ini Malah ‘Bocorkan’ Ribuan Password Instagram

(Ilustrasi/Unsplash)

Kalian pasti familiar dengan berbagai aplikasi pihak ketiga yang gunanya untuk menunjang media sosial kita, terutama untuk menambah jumlah follower? Perusahaan Social Captain yang menyediakan aplikasi penambah follower Instagram ketahuan telah mengekspos ribuan password Instagram.

Jadi, cara kerja aplikasi Social Captain ini adalah menghubungkan akun pengguna Instagram ke platformnya. Pengguna akan disuruh memasukan username dan password mereka untuk memulai koneksi antara akun dan platform Social Captain.

Diwartakan TechCrunch, Social Captain ternyata menyimpan password dan akun Instagram pengguna yang telah terhubung di dalam kriptografi atau teks terang (plaintext) yang tidak terenkripsi sama sekali.

Baca juga: Foto Hasil Photoshop Terancam Gak Bisa Muncul di Instagram

Pengguna siapapun yang melihat code sumber situs Social Captain bisa melihat username dan password mereka secara jelas, selama akun mereka masih terhubung ke platform tersebut.

Parahnya, bug di situs dapat memungkinkan siapapun mengakses profil Social Captain tanpa harus login -- tinggal masukkan identitas akun Instagram ke situs tersebut, voila… kita bisa mendapatkan akses ke akun Social Captain mereka dan melihat kredensial login Instagram orang, termasuk password.

Dari data yang diperoleh, ada keterangan apakah pengguna tersebut masih dalam masa free trial atau sudah menggunakan layanan Social Captain yang berbayar. Ada sekitar 70 persen pengguna yang telah berlangganan layanan ini.

Pihak TechCrunch kemudian menghubungi Social Captain dan juru bicara mereka mengonfirmasi bahwa mereka telah memperbaiki kerentanan enkripsi tersebut dengan mencegah akses langsung ke profil pengguna lain.

Baca juga: CEO Snapchat: TikTok Akan Lebih Besar dari Instagram

Namun, password dan informasi akun yang lain masih bisa dilihat di code sumber situs Social Captain. 

“Setelah kami menyelesaikan investigasi internal, kami akan memberi tahu pengguna bahwa ini bisa saja dampak dari upaya pembobolan. Nanti kami akan mengimbau mereka agar melakukan update kombinasi username dan password,” kata CEO Social Captain, Anthony Rogers.

Rogers tidak menjelaskan berapa lama investigasi tersebut akan berlangsung.

Sementara pihak Instagram mengatakan, Social Captain telah melanggar persyaratan layanan karena telah menyimpan kredensial login secara tidak layak.

“Kami akan menginvestigasi dan mengambil langkah konkret. Kami mendorong orang-orang agar tidak pernah memberikan password ke siapapun yang mereka sendiri tidak tahu atau tidak percaya,” tutur juru bicara instagram.

Jika ada yang kebetulan menggunakan layanan Social Captain, ada baiknya segera mengubah password akun Instagram.