BARISAN.CO – Peneliti keamanan dari Restore Privacy mengungkapkan data pribadi dari 5,4 juta pengguna Twitter diduga bocor. Peretas disebut mencuri data jutaan akun kemudian menjualnya di forum dengan harga 30.000 dollar AS atau setara Rp 449 juta.
Kebocoran ini diketahui setelah seorang pengguna baru forum Breached Forums dengan nama pengguna “devil” mengaku memiliki jutaan data pribadi pengguna Twitter dan menjualnya di forum tersebut. Sampai saat ini postingan di forum tersebut masih aktif.
Menukil dari laporan Restore Privacy itu, pengguna baru tersebut mengklaim bahwa kumpulan data tersebut mencakup selebriti, perusahaan, hingga orang acak. Data itu mencakup orang-orang dari seluruh dunia, dengan informasi profil publik serta email atau nomor telepon pengguna Twitter yang digunakan dengan akun tersebut.
Restore Privacy berusaha memverifikasi kontak yang tertera pada contoh data yang dijual tersebut. Dan data tersebut cocok dengan orang di dunia nyata.
“Pengguna Forum Pelanggaran yang menjual database juga memposting sampel data dalam postingan itu,” kata ahli Keamanan Digital di Restore Privacy Sven Taylor dikutip pada Senin (25/7/2022).
Taylor mengatakan, pihaknya telah mengunduh database sampel untuk verifikasi dan analisis. Pihaknya juga telah menghubungi penjual database ini untuk mengumpulkan informasi tambahan. Penjual tersebut mengatakan bahwa semua informasi sudah diungkapkan dalam laporan HackerOne.
Penjual meminta setidaknya $30.000 untuk database, yang sekarang tersedia karena “ketidakmampuan Twitter” menurut penjual.
Pihaknya telah menghubungi Twitter terkait insiden ini, tetapi masih belum menerima tanggapan apa pun sampai saat ini.
Kerentanan Twitter di Android
Pada awal tahun ini, pengguna HackerOne dengan nama zhirinovskiy dalam laporannya mengungkapkan tentang tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter.
Bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi. Bug itu khusus untuk pengguna Twitter di perangkat Android dan terjadi dengan proses otorisasi Twitter.
“Bug itu khusus untuk klien Android Twitter dan terjadi dengan proses otorisasi Twitter,” katanya.
Zhirinovskiy mengirimkan laporan bug pada 1 Januari tahun ini. Dia menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh peretas.
“Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon. Tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke nama pengguna),” tulis Zhirinovskiy.
Laporan HackerOne kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan. Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai “masalah keamanan yang valid ” dan berjanji untuk menyelidiki lebih lanjut.
Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi Zhirinovskiy hadiah sebesar 5.040 dolar AS. [rif]