Ada Bug Kritis, Keamanan Data Pengguna Truecaller Terancam

img

Truecaller, aplikasi pengidentifikasi penelpon dan pemblokiran panggilan, baru-baru ini mengalami pelanggaran data.

 

Peneliti keamanan siber asal India, Ehraz Ahmed, menemukan kebocoran data pelanggan Truecaller ke publik, termasuk informasi sistem dan lokasi. Namun, perusahaan mengklaim telah memperbaikinya.

 

Truecaller dikembangkan oleh perusahaan dari Swedia dan tersedia secara global. Secara global, Truecaller telah diunduh 500 juta di Android dan mengklaim memiliki 150 juta pengguna aktif harian.

 

Menurut Ahmed, kerentanan yang ada memungkinkan penyerang untuk menyuntikkan “tautan jahat” (malicious link) sebagai tautan profil. Pengguna yang mengklik tautan tersebut baik melalui pencarian atau sembulan (popup) bisa dieksploitasi.

 

Ahmed mengatakan, seperti diberitakan Forbes, Minggu (24 November 2019), mencoba mengembangkan bukti konsep (proof-of-concept/POC) berupa “tautan jahat” yang dapat ditanam sebagai pengganti gambar profil.

 

Yang dilakukan dia melalui POC adalah untuk mengambil informasi pengguna seperti alamat IP, user-agent, dan waktu. Pengguna yang mengunjungi profil palsu itu tidak akan melihat yang diambil karena semuanya terjadi di latar belakang, dan bagi pengguna, itu akan terlihat seperti profil umum lainnya.

 

Sebelumnya, Truecaller juga mengalami pelanggaran data di Nigeria dan dugaan penjualan data pengguna India di forum darkweb—keduanya terjadi pada awal tahun ini.

 

“Kami dengan rendah hati menyambut semua kontribusi dari komunitas riset keamanan,” kata perusahaan.

 

"Kami telah bermitra dengan komunitas peneliti dan akan segera mengumumkan program bug bounty di mana kami, sebagai organisasi yang transparan dan bertanggung jawab, juga akan menghargai para peneliti atas kontribusi mereka."

 

Sumber: Cyberthreat.id