Data 200 Juta Pengguna Twitter Dibocorkan Gratis di Forum Hacker

KOMPAS.com - Data pribadi milik 200 juta pengguna Twitter diduga bocor dan disebar secara gratis di forum peretas (hacker), Breached Forums.

Pengguna dengan username "ThinkingOne" mengeklaim memiliki data sebesar 63 GB mencakup nama pengguna, alamat e-mail, handle atau username Twitter, tanggal pembuatan akun, dan jumlah pengikut (follower) milik 209.595.668 pengguna Twitter.

Dari ratusan juta data yang diklaim dikumpulkan menggunakan sistem Twitter (API) versi 2021.

Menurut laporan peneliti keamanan dari Privacy Affairs, Miklos Zoltan data yang disebar gratis ini merupakan data yang sama yang digunakan anggota Breached dengan username "Ryushi" untuk memeras Twitter akhir Desember lalu.

Baca juga: Peras Twitter Rp 3 Miliar, Hacker Ancam Bocorkan Data 400 Juta Pengguna

Ketika ituk Ryushi mengancam akan membocorkan data milik 400 juta pengguna Twitter, termasuk pengguna beken seperti CEO Alphabet dan Google, Sundar Pichai; mantan presiden Amerika Serikat (AS), Donald Trump; hingga musisi papan atas Charlie Puth.

Selain itu, data juga mencakup akun beberapa perusahaan dan institusi resmi macam SpaceX, NBA, WHO, CBS Media, badan kesehatan dunia WHO, dan masih banyak lagi.

Ryushi memeras Twitter dengan meminta perusahaan milik Elon Musk itu membayar uang tebusan senilai 200.000 dolar AS (sekitar Rp 3,1 miliar) supaya data-data tersebut tidak bocor dan dijual ke publik.

Apabila ditebus, maka data-data yang dimiliki Ryushi tidak akan dibocorkan dan bakal dihapus. Sebaliknya, jika Twitter tak membayar, maka data tersebut akan dijual ke pihak yang berminat senilai 60.000 dolar AS (sekitar Rp 940 juta) per kopi data.

Namun, kini, data tersebut justru disebar secara gratis oleh pengguna bernama "ThinkingOne". Jumlah data yang disebar menjadi setengahnya atau sekitar 200 juta karena, menurut klaim ThinkingOne, data sudah bersih dari data duplikat.

Baca juga: Ingat Hacker Pembobol iPhone yang Direkrut Elon Musk? Kini Dia Resign dari Twitter

Data milik 200 juta pengguna Twitter ini memang tidak ikut mengekspos nomor telepon, kata sandi, serta alamat tempat tinggal pengguna. Meski begitu, Miklos Zoltan mengatakan kebocoran data pribadi ini tetap memiliki risiko yang mengintai bagi para pengguna terdampak.

Dari data yang disebar, hacker atau penjahat lain bisa melakukan serangan berbasis rekayasa sosial seperti e-mail phising dan spam, hingga doxing (pengungkapan informasi/identitas seseorang secara online), sebagaimana dihimpun KompasTekno dari The Register, Jumat (6/1/2023).

Sumber API lawas

Seperti disebutkan di atas, data yang dikumpulkan Ryushi diklaim mengandalkan celah (bug) yang ada di kode pemrograman Twitter alias API lawas versi 2021.

Diwartakan sebelumnya, bug API Twitter yang lama itu juga menyebabkan kebocoran data serupa pada November lalu. Ketika itu, sekitar 5,4 juta data pengguna Twitter bocor di intenet. Data-data ini meliputi username Twitter, e-mail, nomor telepon, dan lain sebagainya.

Baca juga: Kasus Data Bocor di Indonesia Sepanjang 2022, dari PLN, Pertamina, hingga Aksi Bjorka

Twitter membenarkan bahwa ada celah keamanan yang digunakan peretas (hacker) untuk mengumpulkan alamat e-mail dan nomor telepon setidaknya milik 5,4 juta akun. Perusahaan memastikan bahwa celah keamanan tersebut kini telah ditambal pada Januari 2022.

Meski Twitter mengonfirmasi ada 5,4 juta e-mail dan nomor telepon terekspos, namun, perusahaan memastikan bahwa password milik pengguna tidak bocor dan tetap aman.

Di samping itu, bug di API Twitter lawas juga konon sempat dimanfaatkan oleh seorang peretas (hacker) untuk mengumpulkan data sekitar 17 juta data pengguna Twitter.

Namun, belasan juta data tersebut diklaim tidak dijual secara publik dan kabarnya masih disimpan oleh hacker itu secara privat.