Cyberthreat.id - Twitter baru saja mengumumkan adanya insiden yang mengeksploitasi celah keamanan (bug) platform pada Antarmuka Pemrograman Aplikasi (API) untuk mencocokkan nomor telepon dengan nama pengguna platform.

“Pada 24 Desember 2019 kami baru menyadari, bahwa seseorang telah menggunakan jaringan besar akun palsu untuk mengeksploitasi API kami dan mencocokkan nama pengguna dengan nomor telepon,” demikian pengumuman Twitter di situs webnya yang diakses, Selasa (4 Februari 2020).

Dikutip dari Forbes, Twitter mengakui ada kemungkinan pencurian data nomor ponsel akun penggunanya oleh peretas yang didukung pemerintahan negara tertentu. Itu terungkap setelah seorang peneliti keamanan siber menemukan kelemahan dalam fitur Contacts Upload di situs mikroblogging itu Desember lalu.

Disebutkan, Twitter mengidentifikasi volume permintaan Contacts Upload yang tinggi menggunakan fitur dari alamat internet di Malaysia, Iran, dan Israel. Fitur Contact Upload belakangan diketahui dapat dimanfaatkan untuk mencocokkan nomor telepon milik akun pengguna media sosial itu.

Twitter hanya mengatakan bahwa beberapa alamat IP yang terlibat dalam serangan kemungkinan memiliki ikatan dengan aktor yang disponsori negara. Namun,Twitter tidak dapat mengidentifikasi semua akun yang terkena dampak. Tidak disebutkan pula berapa banyak telepon pengguna yang menjadi korban.

Kecurigaan kemungkinan pencurian data itu melibatkan aktor yang didukung negara lantaran para penyerang memiliki akses tidak terbatas ke Twitter meskipun jaringan media sosial tersebut dilarang di negara bersangkutan.

Ilia Kolochenko, CEO ImmuniWeb, menilai klaim Twitter tentang keterlibatan IP aktor yang disponsori negara agak tidak bisa dipahami tanpa rincian lebih lanjut.

Sebelumnya, TechCrunch melaporkan pada Desember lalu bahwa peneliti keamanan siber, Ibrahim Balic, berhasil mencocokkan 17 juta nomor telepon dengan akun pengguna Twitter tertentu. Balic bisa mengeksploitasi kelemahan pada fitur kontak pada aplikasi Android-nya.

Balic juga mencocokkan dua miliar nomor telepon dan cocok dengan nomor pengguna Twitter di Armenia, Prancis, Jerman, Yunani, Iran, dan Turki.

Wartawan TechCrunch membuktikan dapat mengidentifikasi seorang politisi senior Israel dengan mencocokkan nomor telepon lewat cara yang sama. Fitur ini, yang memungkinkan seseorang dengan nomor telepon pengguna menemukan dan terhubung dengan pengguna lain di Twitter, telah dinonaktifkan secara default untuk pengguna di Uni Eropa karena melanggar perlindungan data pribadi (GDPR) yang berlaku di sana. 

Twitter mengaku telah menambal celah itu pada Desember lalu. Namun, pakar keamanan siber mempertanyakan bagaimana sebuah kesalahan pengkodean sederhana, bisa membuat jutaan pengguna terdampak.

Advokat provasi digital di ProPrivacy.com, Tom Chivers, menyebut hal itu sangat mengganggu bagi pengguna Twitter.

"Mengingat bahwa perusahaan merujuk kemungkinan keterlibatan aktor yang disponsori negara, Anda harus bertanya-tanya, apa tujuan dari spionase massal ini, dan seberapa serius Twitter menangani masalah ini dengan cepat," kata Chivers.

Pertanyaan yang muncul: bagaimana pengguna dapat melindungi data mereka dari layanan digital yang diretas secara konsisten?

Menurut Chivers,"jangan serahkan data anda dari awal."

"Sementara Twitter merekomendasikan untuk mematikan opsi 'Biarkan orang yang memiliki nomor telepon Anda menemukan Anda di Twitter' di pengaturan, saya menyarankan jangan menyerahkan nomor telepon Anda ke Twitter secara bebas, karena itu tidak dapat hilang. Orang yang terbaik menangani data Anda, adalah diri Anda sendiri," kata Chivers.[]