Pemilik forum peretasan Breached, Pompompurin, menyebut 5,4 juta data Twitter yang diretas pada Desember 2021 dibagikan secara gratis di forumnya.
5,4 juta data yang mengandung informasi non-publik seperti nomor telepon dan email pengguna tersebut dicuri peretas dengan memanfaatkan kerentanan antarmuka pemrograman aplikasi (API) yang sudah ditambal Twitter pada Januari 2022.
Selain data pribadi, data yang dicuri ini juga mengandung sejumlah informasi yang sebetulnya bisa diakses publik seperti ID Twitter, nama, nama login, lokasi, dan status terverifikasi.
Data tersebut kemudian dijual oleh peretas pada Juli lalu dengan harga US$30 ribu atau sekitar Rp450 juta.
Dilansir dari Bleeping Computer, peretas mengeksploitasi kerentanan API yang memungkinkan orang untuk mengirimkan nomor telepon dan alamat email ke API dan mengambil ID Twitter terkait.
Dengan menggunakan ID tersebut, peretas kemudian dapat mengorek informasi publik tentang akun tersebut untuk membuat catatan pengguna yang berisi informasi pribadi dan publik.
Pompompurin juga mengaku menjadi sosok di balik eksploitasi kerentanan tersebut. Dia melakukan hal ini setelah mendapatkan informasi tentang kerentanan Twitter dari seorang peretas bernama ‘Devil.’
Selain 5,4 juta data Twitter yang dijual, ada juga tambahan 1,4 juta profil Twitter pengguna yang ditangguhkan yang dikumpulkan menggunakan API yang berbeda, sehingga totalnya menjadi hampir 7 juta profil Twitter yang berisi informasi pribadi.
Pompompurin mengatakan kumpulan data kedua ini tidak dijual dan hanya dibagikan secara pribadi kepada beberapa orang.
Meski Pompompurin menjadi sosok yang bertanggung jawab atas eksploitasi kerentanan API dan pengumpulan data, sosok yang membagikan 5,4 data Twitter secara gratis bukan dirinya.
Menurut pantauan CNNIndonesia.com pada Senin (28/11), data ini dibagikan oleh pengguna dengan nama akun FazyMalone.
“Pada Januari 2022, kerentanan di platform Twitter memungkinkan penyerang membangun database alamat email dan nomor telepon jutaan pengguna platform sosial tersebut,” tulis FazyMalone dalam sebuah unggahan pada Rabu (23/11).
“Dalam pemberitahuan pengungkapan yang kemudian dibagikan pada Agustus 2022, Twitter memberi tahu bahwa kerentanan itu terkait dengan bug yang diperkenalkan pada Juni 2021 dan mereka langsung memberi tahu pelanggan yang terkena dampak,” imbuhnya.
“Data yang terpengaruh termasuk alamat email atau nomor telepon bersama dengan informasi publik lainnya termasuk nama pengguna, nama tampilan, bio, lokasi, dan foto profil. Data tersebut mencakup 6,7 juta alamat email unik di akun aktif dan yang ditangguhkan, yang terakhir muncul dalam daftar terpisah dari 1,4 juta alamat,” kata dia.
Di luar data awal yang sempat dijual, BleepingComputer memperoleh file sampel dari dump data Twitter yang berisi 1.377.132 nomor telepon untuk pengguna di Prancis. Verifikasi terhadap nomor-nomor itu membuktikan data tersebut valid.
Karena data ini berpotensi digunakan untuk serangan phishing untuk mendapatkan akses masuk, penting untuk Anda memeriksa setiap email yang mengaku berasal dari Twitter.
Jika Anda menerima email yang mengklaim bahwa akun Anda ditangguhkan, ada masalah masuk, atau Anda akan kehilangan status terverifikasi, sambil meminta Anda untuk masuk ke domain non-Twitter, abaikan email tersebut dan langsung hapus.
BleepingComputer menghubungi Twitter tentang masalah data ini, namun belum menerima tanggapan.
[Gambas:Video CNN]
(lom/lth)
Sumber: www.cnnindonesia.com