Cyberthreat.id – Lebih dari 5,4 juta catatan pengguna Twitter berisi informasi non-publik yang dicuri menggunakan kerentanan API yang diperbaiki pada bulan Januari telah dibagikan secara gratis di forum peretas.

Dikutip dari The Hacker News, dump data yang bocor ini berpotensi lebih signifikan bagi jutaan pengguna. Bahkan, i jutaan catatan Twitter juga telah diungkapkan oleh peneliti keamanan, menunjukkan seberapa luas bug ini disalahgunakan oleh pelaku ancaman.

Juli lalu, seorang aktor ancaman mulai menjual informasi pribadi lebih dari 5,4 juta pengguna Twitter di forum peretasan seharga $30.000. Sebagian besar data terdiri dari informasi publik, seperti ID Twitter, nama, nama login, lokasi, dan status terverifikasi, juga termasuk informasi pribadi, seperti nomor telepon dan alamat email.

Data ini dikumpulkan pada Desember 2021 menggunakan kerentanan API Twitter yang diungkapkan dalam program bounty bug HackerOne yang memungkinkan orang mengirimkan nomor telepon dan alamat email ke dalam API untuk mengambil ID Twitter terkait.

Dengan menggunakan ID ini, pelaku ancaman kemudian dapat mengorek informasi publik tentang akun tersebut untuk membuat catatan pengguna yang berisi informasi pribadi dan publik, seperti yang ditunjukkan di bawah ini.

Tidak jelas apakah pengungkapan HackerOne bocor, tetapi BleepingComputer diberi tahu bahwa banyak pelaku ancaman menggunakan bug tersebut untuk mencuri informasi pribadi dari Twitter.

Setelah BleepingComputer membagikan sampel catatan pengguna dengan Twitter, perusahaan media sosial tersebut mengonfirmasi bahwa mereka telah mengalami pelanggaran data menggunakan bug API yang diperbaiki pada Januari 2022.

Pompompurin, pemilik forum peretasan yang Dilanggar, mengatakan kepada BleepingComputer akhir pekan ini bahwa mereka bertanggung jawab untuk mengeksploitasi bug dan membuat tumpukan besar catatan pengguna Twitter setelah aktor ancaman lain yang dikenal sebagai 'Devil' berbagi kerentanan dengan mereka.

Selain 5,4 juta rekaman untuk dijual, ada juga tambahan 1,4 juta profil Twitter untuk pengguna yang ditangguhkan yang dikumpulkan menggunakan API yang berbeda, sehingga totalnya menjadi hampir 7 juta profil Twitter yang berisi informasi pribadi. Pompompurin mengatakan data dump kedua ini tidak dijual dan hanya dibagikan secara pribadi kepada beberapa orang.

Kemudian, Pada bulan September, dan baru-baru ini, pada tanggal 24 November, 5,4 juta catatan Twitter kini telah dibagikan secara gratis di forum peretasan. Pompompurin telah mengonfirmasi kepada BleepingComputer bahwa ini adalah data yang sama yang dijual pada bulan Agustus, dan mencakup 5.485.635 catatan pengguna Twitter.

Catatan ini berisi alamat email atau nomor telepon pribadi, dan data yang diambil secara publik, termasuk ID Twitter akun, nama, nama layar, status terverifikasi, lokasi, URL, deskripsi, jumlah pengikut, tanggal pembuatan akun, jumlah teman, jumlah favorit, jumlah status, dan URL gambar profil.

Meskipun pelaku ancaman merilis 5,4 juta catatan secara gratis, data dump yang lebih besar diduga dibuat menggunakan kerentanan yang sama. Dump data ini berpotensi berisi puluhan juta catatan Twitter yang terdiri dari nomor telepon pribadi yang dikumpulkan menggunakan bug API yang sama, dan informasi publik, termasuk status terverifikasi, nama akun, ID Twitter, bio, dan nama layar.

BleepingComputer telah memperoleh file sampel dari dump data Twitter yang sebelumnya tidak diketahui ini, yang berisi 1.377.132 nomor telepon untuk pengguna di Prancis. Pihaknya juga telah mengonfirmasi dengan banyak pengguna dalam kebocoran ini bahwa nomor telepon itu valid, memverifikasi bahwa pelanggaran data tambahan ini nyata.

Selain itu, tidak satu pun dari nomor telepon ini yang ada dalam data asli yang dijual pada bulan Agustus, menggambarkan seberapa besar pelanggaran data Twitter daripada yang diungkapkan sebelumnya dan banyaknya data pengguna yang beredar di antara pelaku ancaman.

Pompompurin juga mengkonfirmasi dengan BleepingComputer bahwa mereka tidak bertanggung jawab dan tidak tahu siapa yang membuat dump data yang baru ditemukan ini, yang menunjukkan bahwa orang lain menggunakan kerentanan API ini.

BleepingComputer telah mengetahui bahwa data dump yang baru ditemukan ini terdiri dari banyak file yang dipecah berdasarkan kode negara dan area, termasuk Eropa, Israel, dan AS. Terlebih data berpotensi digunakan untuk serangan phishing yang ditargetkan untuk mendapatkan akses ke kredensial masuk, sangat penting untuk memeriksa setiap email yang mengaku berasal dari Twitter.