Apa yang perlu Anda ketahui
- Twitter terkena kerentanan keamanan baru, yang telah diperbaiki.
- Kerentanan memungkinkan peretas untuk mengidentifikasi akun mana yang terkait dengan alamat email atau nomor telepon.
- Ini berpotensi mengungkap identitas asli akun pseudonim.
Bug Twitter membuat identitas jutaan akun rahasia terekspos melalui forum peretas, layanan microblogging telah mengkonfirmasi, menambahkan bahwa sejak saat itu telah memperbaiki kerentanan.
Celah tersebut memungkinkan aktor jahat untuk mengetahui apakah nomor telepon atau alamat email dikaitkan dengan akun yang ada hanya dengan memasukkan informasi ini ke dalam alur masuk.
"Akibat dari kerentanan, jika seseorang mengirimkan alamat email atau nomor telepon ke sistem Twitter, sistem Twitter akan memberi tahu orang tersebut akun Twitter mana yang dikaitkan dengan alamat email atau nomor telepon yang dikirimkan, jika ada," kata Twitter di sebuah posting blog.
Cacat keamanan berasal dari pembaruan kode Twitter yang diperkenalkan pada bulan Juni tahun lalu. Twitter memperbaiki masalah ini setelah menerima laporan Januari lalu melalui program bug bounty-nya. Perusahaan menambahkan bahwa mereka tidak menemukan bukti yang menunjukkan bahwa seseorang telah mengambil keuntungan dari kerentanan tersebut ketika pertama kali mengetahui tentang bug tersebut.
Namun, laporan bug datang terlambat karena beberapa aktor jahat telah mengeksploitasi kelemahan tersebut. Menurut a Komputer Tidur melaporkan, seorang peretas menjual database yang berisi nomor telepon dan alamat email yang terkait dengan 5,4 juta akun melalui forum peretas seharga $30.000.
"Setelah meninjau sampel data yang tersedia untuk dijual, kami mengonfirmasi bahwa aktor jahat telah mengambil keuntungan dari masalah ini sebelum ditangani," demikian konfirmasi Twitter.
Perusahaan tidak mengatakan berapa banyak akun yang terpengaruh, tetapi dikatakan bahwa pelanggaran tersebut berpotensi memengaruhi pengguna dengan akun nama samaran. Basis data yang dijual, menurut Bleeping Computer, berisi informasi "tentang berbagai akun, termasuk selebritas, perusahaan, dan pengguna acak."
Twitter akan memberi tahu pemilik akun yang terpengaruh oleh kerentanan ini. Untuk pengguna dengan akun rahasia, platform merekomendasikan "tidak menambahkan nomor telepon atau alamat email yang diketahui publik" ke akun Twitter mereka untuk menyembunyikan identitas mereka.
Untungnya, tidak ada kata sandi yang disusupi akibat peretasan tersebut. Meskipun demikian, layanan ini mendorong pengguna untuk aktifkan autentikasi dua faktor melalui penggunaan aplikasi autentikasi atau kunci keamanan perangkat keras.