SEBANYAK 5,4 juta data akun Twitter diduga telah diretas dan dijual di sebuah forum dengan harga awal US$30 ribu atau sekira Rp 450 juta. Peretasan itu bermula dari kerentanan keamanan Twitter yang terverifikasi pada Januari lalu. Kemudian Twitter menambal kerentanannya.
Dikutip dari restoreprivacy yang menyebut, bahwa kerentanan Twitter malah telah diekspoitasi oleh hacker untuk meretas data akun yang berasal dari 5,4 juta pengguna yang berisi nomor telepon dan email, kemudian dijual di forum peretasan populer.
Kerentanan Twitter itu terungkap lewat unggahan salah satu pengguna HackerOne zhirinovskiy, awal Januari. Menurut dia, celah itu memungkinkan peretas memperoleh nomor telepon dan/atau alamat email, yang terkait dengan akun, meskipun pengguna menyembunyikannya di pengaturan privasi. Bug itu disebut khusus terjadi pada Android dan dengan proses otorisasi Twitter.
“Kerentanan ini memungkinkan pihak mana pun tanpa otentikasi apa pun untuk mendapatkan ID Twitter (yang hampir sama dengan mendapatkan nama pengguna akun) dari setiap pengguna, dengan mengirimkan nomor telepon/email,” kata akun zhirinovskiy itu.
“Meskipun pengguna telah melarang tindakan ini dalam pengaturan privasi. Bug tersebut terjadi karena proses otorisasi yang digunakan pada Android Client Twitter, khususnya dalam proses pengecekan duplikasi akun Twitter,” katanya.
Pengguna HackerOne tersebut, menggambarkan konsekuensi potensial dari kerentanan ini, adalah ancaman serius yang dapat dimanfaatkan oleh peretas.
“Ini ancaman serius, karena tidak hanya dapat menemukan pengguna yang telah menyembunyikan email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean, dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia, untuk enumeration prior (membuat database dengan koneksi telepon/email ke username),” jelas pengguna HakcerOne itu.
Discussion about this post