Twitter Tambal Celah Keamanan yang Bikin Data 5,4 Juta Akun Bocor

Hal ini diumumkan langsung oleh Twitter melalui sebuah unggahan di laman Twitter Privacy Center belum lama ini.

"Setelah meninjau sampel data yang dijual (di forum online), kami mengonfirmasi bahwa hacker telah mengambil keuntungan dari masalah ini sebelum ditangani. Ketika kami mengetahui hal ini, kami segera menyelidiki dan memperbaikinya," kata pihak Twitter.

Meski Twitter mengonfirmasi ada 5,4 juta e-mail dan nomor telepon terekspos, namun, perusahaan memastikan bahwa password milik pengguna tidak bocor dan tetap aman.

Twitter juga mengatakan bahwa pengguna tidak dapat melakukan tindakan khusus terkait insiden kebocoran data ini. Data yang dicuri peretas ini dijual di forum online dengan 30.000 dollar AS atau setara Rp 449 juta.

Kendati begitu, Twitter mengatakan bahwa pihaknya tidak dapat mengonfirmasi setiap akun yang berpotensi terkena dampak, terutama orang-orang dengan akun pseudonim (samaran).

Untuk merahasiakan identitas, Twitter menyarankan untuk tidak menambahkan nomor telepon atau alamat e-mail publik ke akun Twitter pengguna.

Twitter memastikan tidak ada kata sandi (password) pengguna yang ikut dikumpulkan. Namun, Twitter tetap menyarankan agar pengguna melapisi keamanan akunnya dengan mengaktifkan fitur autentikasi dua faktor (2 factor authentication/2FA).

Celah muncul dari pembaruan kode pada Juni 2021

Dalam unggahan yang sama, Twitter menjelaskan bahwa celah keamanan (vulnerability) yang dieksploitasi peretas untuk mengumpulkan alamat e-mail dan nomor telepon setidaknya milik 5,4 juta akun ini, berasal dari pembaruan kode Twitter pada Juni 2021.

Menurut Twitter, pihaknya segera menyelidiki dan memperbaikinya ketika mengetahui ada vulnerability tersebut.

Namun, pada saat itu, Twitter tidak memiliki bukti yang menunjukkan bahwa seseorang telah memanfaatkan kerentanan itu.

Pada Januari 2022, Twitter menerima laporan bahwa kerentanan Twitter tadi telah dieksploitasi oleh hacker. Laporan ini berasal dari "zhirinovskiy" dari HackerOne, sebuah platform bagi para hacker untuk mendapat uang dari bug bounty.

Kerentanan Twitter tersebut memungkinkan hacker memasukkan nomor telepon atau alamat e-mail, dan kemudian menemukan username Twitter (ID Twitter) terkait.

Ini adalah pengidentifikasi internal yang digunakan oleh Twitter, tetapi dapat dengan mudah dikonversi ke username (handle) pengguna Twitter.

Laporan sebelumnya nengatakan bahwa ada kemungkinan hacker memperoleh database nomor telepon dan alamat e-mail dari kebocoran data layanan lain, kemudian menggunakan celah tersebut untuk mencari username Twitter yang sesuai.

Kemudian, data tersebut dijual di forum online dengan 30.000 dollar AS atau setara Rp 449 juta.

Detail kontak itu ditawarkan dan dijual di forum online bernama "Breach Forums". Hacker menggunakan akun bernama "Evil" untuk menjual 5.485.636 data nomor telepon dan alamat e-mail pengguna Twitter tersebut.

Hacker mengeklaim bahwa data tersebut meliputi pengguna Twitter dari kalangan selebriti, perusahaan, pengguna acak (random), dan lainnya.