Jakarta, CNBC Indonesia – Dalam sebuah laporan dari Bleeping Computer bulan lalu, hacker mengaku mampu membuat daftar 5,4 juta profil akun Twitter dengan menggunakan kerentanan di situs perusahaan. Sekarang, Twitter mengonfirmasi adanya pelanggaran data akibat kerentanan zero-day.
Kerentanan itu menautkan alamat email dan nomor telepon ke akun pengguna. Dengan begitu memungkinkan siapapun untuk mengirimkan alamat email atau nomor telepon, memverifikasi apakah terkait dengan akun Twitter dan mengambil ID terkait.
Pelaku akan menggunakan ID tersebut untuk mencuri informasi publik dari akun. Dengan begitu aktor ancaman dapat membuat profil dari 5,4 juta pengguna pada Desember 2021 termasuk nomor telepon atau alamat email yang diverifikasi, informasi publik, seperti jumlah pengikut, screen name, nama login, lokasi, URL foto profil an informasi lain.
Kala itu pelaku menjual data US$30 ribu dan Bleeping Computer diberitahu ada pembeli yang tertarik. Dilaporkan ada dua pelaku berbeda yang memberi data dengan harga kurang dari yang asli serta kemungkinan akan dirilis secara gratis di masa depan, dikutip Selasa (9/8/2022).
Twitter mengonfirmasi kerentanan itu sama dengan yang dilaporkan dan diperbaiki pada Januari 2022. Ini sebagai bagian dari program bug HackerOne.
“Pada Januari 2022, kami menerima laporan melalui program bug bounty kami mengenai kerentanan yang memungkinkan seseorang mengidentifikasi email atau nomor telepon terkait dengan satu akun atau jika mengetahui email atau nomor telepon seseorang, mereka bisa mengidentifikasi akun Twitter mereka, jika ada,” kata Twitter.
“Bug ini dihasilkan dari pembaruan kode kami pada Juni 2021. Saat mengetahuinya, kami segera menyelidiki dan memperbaikinya. Saat itu, kami tidak memiliki bukti yang menunjukkan seseorang telah memanfaatkan kerentanan itu”.
Twitter juga mengirimkan pemberitahuan pada pengguna yang terdampak kejadian ini, apakah mengekspos nomor telepon atau alamat email. Perusahaan tak bisa menentukan jumlah mereka yang menjadi korban, namun menurut pelaku mengklaim mendapatkan data 5.485.636 pengguna Twitter.
Twitter mendorong pengguna mengaktifkan fitur otentikasi 2 faktor di akunnya, meski password tidak terungkap dalam kejadian ini. Cara tersebut sebagai langkah pencegahan login tidak sah sebagai tindakan keamanan.
Bagi mereka dengan akun pseudonim diminta untuk menjaga identitas seanonim mungkin, ujar Twitter. Yakni dengan tidak menggunakan nomor telepon atau email yang diketahui publik di akun tersebut.
“Kami menerbitkan pembaruan karena kami tidak bisa mengonfirmasi setiap akun yang berpotensi terkena dampak dan terutama memperhatikan orang dengan akun pseudonim yang bisa ditargetkan oleh negara atau aktor lain,” jelas Twitter.
[Dexpert.co.id]
Artikel Selanjutnya
Twitter Uji Coba Bayar Kreator Konten Pakai Kripto
(npb/roy)