Peneliti keamanan internet Atul Agarwal membeberkan celah tersebut. Rupanya, ketika seseorang memasukkan alamat email dengan username yang salah pada halaman sign in, Facebook akan menampilkan halaman khusus untuk memasukkan ulang username. Celakanya, di halaman itu Facebook menyertakan foto dan nama lengkap pengguna Facebook yang terkait dengan alamat email tersebut.
Fitur tersebut sejatinya dimaksudkan Facebook untuk memberitahu pengguna kalau-kalau mereka telah salah mengetik alamat email pada saat login. Namun ibarat pisau bermata dua, fitur itu bisa saja disalahgunakan spammer untuk mendapatkan informasi data 500 juta pengguna Facebook.
Dia juga menyebutkan, seseorang bisa menggunakan fitur tersebut untuk menghasilkan alamat email secara acak dan mengeceknya apakah alamat email itu masih digunakan atau tidak.
Ditambahkan Agarwal, halaman login memperlihatkan foto seorang pengguna Facebook, bahkan meski pengguna itu sudah mengatur privasi mereka agar informasi rahasia tetap terjaga. "Ini ibarat 'panen' data yang sangat mudah," tandasnya.
(rns/eno)