E-mail dan Nomor Telepon 5,4 Juta Akun Twitter Diduga Bocor

Menurut laporan 9to5mac, data milik 5,4 juta akun pengguna Twitter yang dicuri meliputi detail kontak seperti nomor telepon dan alamat e-mail.

Detail kontak itu sekarang masih ditawarkan dijual di forum online bernama "Breach Forums". Hacker menggunakan akun bernama "Evil" untuk menjual 5.485.636 data nomor telepon dan alamat e-mail pengguna Twitter tersebut.

Hacker mengeklaim bahwa data tersebut meliputi pengguna Twitter dari kalangan selebriti, perusahaan, pengguna acak (random), dan lainnya.

Hacker tersebut juga menyertakan sample data curian. Situs pegiat privasi dan keamanan online, Restore Privacy pun mengunduh database sampel tersebut untuk verifikasi dan analisis.

Setelah diperiksa, menurut Restore Privacy, sampel dari seluruh data dicuri itu berasal dari pengguna di seluruh dunia dengan informasi profil publik, serta e-mail atau nomor telepon pengguna Twitter yang digunakan pada akun tersebut.

"Semua sampel yang kami lihat cocok dengan orang-orang di dunia nyata yang dapat dengan mudah diverifikasi dengan profil publik di Twitter," tulis laporan Restore Privacy.

Kerentanan ini pertama kali dilaporkan pengguna "zhirinovskiy" dari HackerOne, sebuah platform bagi para hacker untuk mendapat uang dari bug bounty.

Kerentanan Twitter tersebut memungkinkan hacker memasukkan nomor telepon atau alamat e-mail, dan kemudian menemukan username Twitter (ID Twitter) terkait.

Ini adalah pengidentifikasi internal yang digunakan oleh Twitter, tetapi dapat dengan mudah dikonversi ke username (handle) pengguna Twitter.

Kemungkinan, hacker memperoleh database nomor telepon dan alamat e-mail dari kebocoran data layanan lain, kemudian menggunakan celah tersebut untuk mencari username Twitter yang sesuai.

Menurut akun HakcerOne zhirinovskiy, ini adalah ancaman serius. Sebab, hacker tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon.

Tetapi, hacker dengan pengetahuan dasar tentang skrip atau coding, juga dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk membuat database dengan koneksi telepon/e-mail ke username).

Basis data pengguna tersebut dapat dijual kepada pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam kegiatan jahat yang berbeda, sebagaimana dihimpun KompasTekno dari 9to5mac, Senin (25/7/2022).

Ancaman pishing

Twitter sendiri belum memberikan penjelasan soal kerentanan dan dugaan kebocoran data ini.

Selain itu, belum ada cara untuk memeriksa apakah akun Anda termasuk dalam pelanggaran data Twitter kali ini. Namun, satu hal yang perlu diwaspadi pengguna setelah insiden dugaan kebocoran data adalah serangan phishing.

Phising adalah sebuah upaya menjebak korban untuk mencuri informasi pribadi, seperti nomor rekening bank, kata sandi, dan nomor kartu kredit.

Aksi phising bisa dilancarkan melalui berbagai media seperti e-mail, media sosial, panggilan telepon, dan SMS, atau teknik rekayasa sosial dengan memanipulasi psikologis korban.

Untuk itu, pengguna Twitter perlu waspada. Jika pengguna menerima pesan, baik di media sosial, e-mail, panggilan telepon, dan SMS, yang meminta pembaruan atau verifikasi data pengguna, sebaiknya identifikasi pesan secara menyeluruh terlebih dahulu.

Pesan phising biasanya akan berisi kesalahan pengetikan atau kesalahan tata bahasa. Selain itu, pesan phising juga akan menggiring pengguna untuk mengklik tautan yang beirisi situs mirip dengan versi aslinya.