Bahkan yang lebih mengejutkannya lagi, catatan itu bisa diakses oleh pegawai internal Facebook. Diyakini ada sekitar 200 juta sampai 600 juta akun pengguna yang tersimpan dalam catatan tersebut.
Celah keamanan (bug) ini pertama kali oleh jurnalis keamanan siber, Brian Krebs pada bulan Januari lalu saat Facebook melakukan pengecekan keamanan rutin. Krebs mengatakan, bug ini telah ada sejak tahun 2012 lalu yang artinya, data tersebut telah terbuka selama tujuh tahun.
Dalam postingan blog resminya, Facebook memang mengakui masalah tersebut dan mengaku sudah memperbaikinya. Mereka juga akan memberikan pemberitahuan kepada pengguna yang terdampak.
"Sebagai bagian dari tinjauan keamanan rutin pada bulan Januari, kami menemukan bahwa beberapa kata sandi pengguna disimpan dalam format yang dapat dibaca dalam sistem penyimpanan data internal kami," tulis Facebook dalam pernyataannya, Kamis (21/3).
Meski begitu, Facebook mengklaim tidak ada bukti jika password-password itu terekspos ke luar perusahaan atau disalahgunakan oleh pegawai internalnya.
"Kami menemukan tidak ada bukti hingga hari ini yang mengarah ke penyalahgunaan secara internal atau secara tidak pantas mengakses password pengguna," imbuhnya, sebagaimana dirangkum dari TechCrunch, Jumat (22/3/2019).
Facebook menjanjikan akan segera menginformasikan kepada pengguna Facebook, baik pengguna versi Lite maupun reguler. Tak cuma itu, puluhan pengguna Instagram yang kemungkinan terdampak juga akan diberi pemberitahuan akan kejadian ini.
Perlu diketahui kejadian Facebook menyimpan password penggunanya secara plain text cukup mengkhawatirkan. Bukan saja tidak ada fungsi keamanan atau enkripsi, bisa saja catatan kata sandi itu bisa diakses pihak internal. Facebook mengatakan masih akan menginvestigasi kejadian ini lebih lanjut.
Masalah keamanan data pengguna ini menjadi yang ke sekian kalinya yang dialami Facebook dalam beberapa tahun belakangan. Salah satu skandal kebocoran data yang sempat heboh adalah kasus Cambridge Analytica pada 2018 lalu.
Belum lagi Facebook juga harus menghadap komisi Eropa atau tidak terkait celah ini, sesuai atruan GDPR (General Data Protection Regulation) yang berlaku tentang perlindungan data pribadi pengguna.