Apa yang perlu Anda ketahui
- Kerentanan yang sebelumnya diklaim telah diperbaiki oleh Twitter mungkin telah mengakibatkan kompromi jutaan data pengguna.
- Lebih dari 5,4 juta catatan pengguna Twitter dilaporkan telah dibagikan secara gratis di forum peretasan.
- Kerentanan yang sama juga dikatakan telah melahirkan data dump yang lebih besar yang berisi "puluhan juta" data pengguna.
Kerentanan lama yang diklaim Twitter telah diperbaiki awal tahun ini terus menghantui media sosial perusahaan media, dan tampaknya memiliki implikasi keamanan yang jauh lebih serius daripada awalnya tersangka.
BleepingComputer melaporkan bahwa informasi pribadi sekitar 5,4 juta pengguna Twitter yang dicuri akibat kerentanan API telah dibagikan secara bebas di forum peretas. Ini tampaknya merupakan data dump yang konon dijual oleh seorang peretas pada bulan Agustus seharga $30.000.
Sebagai rekap, Twitter dikonfirmasi pada bulan Agustus adanya kerentanan API yang akan memungkinkan peretas untuk mengidentifikasi akun mana yang dikaitkan dengan alamat email atau nomor telepon, yang berpotensi mengungkap identitas sebenarnya dari akun dengan nama samaran. Namun, perusahaan kemudian mengatakan tidak menemukan bukti bahwa kelemahan ini pernah dieksploitasi.
Laporan BleepingComputer baru menunjukkan bahwa tidak hanya dump data yang ditawarkan di forum peretas secara gratis, tetapi kumpulan data curian lainnya juga muncul dari kerentanan yang sama. Pompompurin, pemilik forum peretasan yang dikenal sebagai Breached, memberi tahu BleepingComputer bahwa mereka membuat data dump setelah mengeksploitasi bug. Mereka juga mengakui bahwa kerentanan tersebut awalnya diperoleh dari peretas lain yang dikenal sebagai "Devil".
Selain 5,4 juta catatan pengguna, Pompompurin mengklaim bertanggung jawab untuk mendapatkan 1,4 juta profil Twitter untuk akun yang ditangguhkan. Peretas mengklaim bahwa dump data ini diperoleh menggunakan API lain, meskipun hanya dibagikan secara pribadi dengan beberapa orang.
Namun, orang lain mungkin telah mengeksploitasi kerentanan API. Pakar keamanan Chad Loder mengungkapkan bahwa puluhan juta data pengguna Twitter mungkin diperoleh menggunakan API yang sama. Dump data ini tampaknya mencakup nomor telepon pribadi beserta informasi publik seperti nama akun dan ID Twitter.
Loder membagikan sampel yang telah disunting dari kumpulan data tersebut di Mastodon, karena dia dilarang di Twitter tidak lama setelah memposting informasi yang sama. Akun Twitter yang terpengaruh dikatakan berbasis di UE dan AS, dan pelanggaran tersebut tampaknya "tidak terjadi sebelumnya dari 2021." BleepingComputer mengetahui bahwa data dump berisi lebih dari 17 juta catatan, meskipun tidak dapat memastikan ini.
Menurut BleepingComputer, itu dapat memvalidasi keaslian nomor telepon yang bocor dan menemukan bahwa ini adalah catatan terpisah dari harta karun data sebelumnya. Ini menyiratkan bahwa pelanggaran data lebih besar dari yang diperkirakan sebelumnya.
Android Central telah menghubungi Twitter untuk memberikan komentar dan akan memperbarui artikel ini saat kami mendengarnya kembali.