5,4 Juta Data Akun Twitter Diduga Bocor di Forum Hacker, Apa Isinya?

PT. BESTPROFIT FUTURES

PT. BESTPROFIT FUTURES BANJARMASIN - Peretas diduga membobol 5,4 juta data akun Twitter dan menjualnya di sebuah forum dengan harga awal US$30 ribu (Rp450 juta). Dikutip dari restoreprivacy, pembobolan itu bermula dari kerentanan keamanan Twitter yang terverifikasi pada Januari. Sejak kasus itu, Twitter menambal kerentanan.

Namun, kerentanan itu kadung dieksploitasi oleh salah satu hacker untuk mendapatkan data akun yang diduga berasal dari 5,4 juta pengguna. Database yang berisi nomor telepon dan email itu kini dijual di forum peretasan populer. BESTPROFIT

Kerentanan Twitter itu awalnya terungkap lewat unggahan salah satu pengguna HackerOne "zhirinovskiy", awal Januari. Menurut dia, celah itu memungkinkan peretas memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun, bahkan jika pengguna menyembunyikannya di pengaturan privasi.

Bug itu disebut khusus terjadi pada Android dan dengan proses otorisasi Twitter.

"Kerentanan ini memungkinkan pihak mana pun tanpa otentikasi apa pun untuk mendapatkan ID twitter (yang hampir sama dengan mendapatkan nama pengguna akun) dari setiap pengguna dengan mengirimkan nomor telepon/email," kata akun zhirinovskiy itu. PT. BESTPROFIT

"Meskipun pengguna telah melarang tindakan ini dalam pengaturan privasi. Bug tersebut terjadi karena proses otorisasi yang digunakan pada Android Client Twitter, khususnya dalam proses pengecekan duplikasi akun Twitter," imbuh dia.

Pengguna HackerOne tersebut menggambarkan konsekuensi potensial dari kerentanan ini adalah ancaman serius yang dapat dimanfaatkan oleh peretas.

"Ini ancaman serius, karena tidak hanya dapat menemukan pengguna yang telah menyembunyikan email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username)," kata pengguna HakcerOne itu.

"Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebritas dalam berbagai aktivitas jahat," lanjutnya. PT. BEST PROFIT

Laporan itu kemudian menjabarkan dengan tepat bagaimana mereplikasi kerentanan dan memperoleh data dari akun Twitter yang ditargetkan.

Lima hari setelah unggahan laporan tersebut, staf Twitter mengakui kasus ini sebagai "masalah keamanan yang valid" dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi zhirinovskiy hadiah US$5.040 (Rp75 juta).

Kelemahan Twitter

Meski sudah diatasi, konsekuensi dari kerentanan yang diungkap zhirinovsky itu kini terealisasi.

Pada Kamis (21/7), restoreprivacy melihat pengguna baru menjual database Twitter di Breached Forums, forum peretasan terkenal yang pada awal bulan ini juga mengekspos lebih dari 1 miliar data penduduk China.

Unggahan tersebut masih aktif dengan database Twitter yang diduga terdiri dari 5,4 juta pengguna sedang dijual. Penjual di forum peretasan menggunakan nama pengguna "devil" dan mengklaim bahwa kumpulan data tersebut mencakup "Selebriti, hingga Perusahaan, orang acak, OG, dll."

Beberapa jam setelah unggahan itu dibuat, pemilik Breached Forums memverifikasi keaslian kebocoran dan juga menunjukkan bahwa itu diekstraksi melalui kerentanan dari laporan HackerOne di atas.

Pengguna Forum Pelanggaran yang menjual database juga mem-posting sampel data.

Berdasarkan hasil pengecekan restoreprivacy, data ini mencakup para pengguna dari seluruh dunia, dengan informasi profil publik serta email atau nomor telepon pengguna Twitter yang digunakan dengan akun tersebut. BEST PROFIT

Hasilnya, semua sampel yang dilihat cocok dengan orang-orang di dunia nyata yang dapat dengan mudah diverifikasi dengan profil publik di Twitter.

Kami menghubungi penjual database ini untuk mengumpulkan informasi tambahan. Dia mengatakan kepada bahwa semua informasi sudah diungkapkan dalam laporan HackerOne.

Penjual meminta setidaknya US$30 ribu untuk database, yang sekarang tersedia karena "inkompetensi Twitter".

Twitter sendiri belum memberi komentar resmi atas dugaan kebocoran data ini.

Sumber : cnnindonesia

PT BESTPROFIT FUTURES, PT BEST PROFIT FUTURES, PT BESTPROFIT, PT BEST PROFIT, BESTPROFIT FUTURES, BEST PROFIT FUTURES, BESTPROFIT, BEST PROFIT, BESTPRO, BPF, PT.BPF, BPF BANJAR, BPF BANJARMASIN, PT BEST, PT BPF