Cyberthreat.id – Peneliti keamanan dari Restore Privacy mengungkapkan bahwa database berisi data pribadi milik 5,4 juta pengguna twitter telah ditawarkan di forum peretasan Breached Forums.

Forum peretasan Breached Forums merupakan salah satu forum peretasan terkenal yang mendapat perhatian internasional awal bulan ini dengan pelanggaran data yang mengekspos lebih dari 1 miliar penduduk China.

Dikutip dari situs resminya, Ahli Keamanan Digital di Restore Privacy Sven Taylor, mengungkapkan bahwa database tersebut ditawarkan oleh actor ancaman yang memiliki akses dari kerentanan pada Twitter.

Taylor mengatakan, hingga kini postingan tersebut masih aktif sekarang dengan database Twitter yang diduga terdiri dari 5,4 juta pengguna sedang dijual. Penjual di forum peretasan menggunakan nama pengguna "devil" dan mengklaim bahwa kumpulan data tersebut mencakup "Selebriti, hingga Perusahaan, orang acak, OG, dll."

Beberapa jam setelah posting dibuat, pemilik Forum Pelanggaran memverifikasi keaslian kebocoran dan juga menunjukkan bahwa itu diekstraksi melalui kerentanan dari laporan HackerOne di atas.

“Pengguna Forum Pelanggaran yang menjual database juga memposting sampel data dalam postingan itu,” kata Taylor.

Taylor mengatakan, pihaknya telah mengunduh database sampel untuk verifikasi dan analisis. Ini mencakup orang-orang dari seluruh dunia, dengan informasi profil publik serta email atau nomor telepon pengguna Twitter yang digunakan dengan akun tersebut.

“Semua sampel yang kami lihat cocok dengan orang-orang di dunia nyata yang dapat dengan mudah diverifikasi dengan profil publik di Twitter,” kata dia.

RestorePrivacy juga telah menghubungi penjual database ini untuk mengumpulkan informasi tambahan. Penjual tersebut mengatakan bahwa semua informasi sudah diungkapkan dalam laporan HackerOne. Penjual meminta setidaknya $30.000 untuk database, yang sekarang tersedia karena "ketidakmampuan Twitter" menurut penjual.

Pihaknya telah menghubungi Twitter terkait insiden ini, tetapi masih belum menerima tanggapan apa pun sampai saat ini.

Kerentanan Twitter

Pengguna HackerOne dengan nama zhirinovskiy dalam laporan awal pada bulan Januari, mengungkapkan tentang tentang kerentanan yang memungkinkan penyerang memperoleh nomor telepon dan/atau alamat email yang terkait dengan akun Twitter, bahkan jika pengguna telah menyembunyikan bidang ini di pengaturan privasi. Bug itu khusus untuk pengguna Twitter di perangkat Android dan terjadi dengan proses otorisasi Twitter.

Zhirinovskiy menggambarkan konsekuensi potensial dari kerentanan ini sebagai ancaman serius yang dapat dimanfaatkan oleh aktor ancaman. Kerentanan ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon saja.

Penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia untuk enumeration prior (membuat database dengan koneksi telepon/email ke username). Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam berbagai aktivitas jahat

Lima hari setelah memposting laporan tersebut, staf Twitter mengakui ini sebagai "masalah keamanan yang valid" dan berjanji untuk menyelidiki lebih lanjut. Setelah menyelidiki lebih lanjut masalah ini dan bekerja untuk memperbaiki kerentanan, Twitter memberi pengguna zhirinovskiy hadiah $ 5.040.