sumber foto (kompas.com)
JAKARTA,
JMI -- Laporan dari HackerOne mengungkapkan
kerentanan keamanan dalam kode Twitter. Kerentanan tersebut memungkinkan
peretas mencuri nomor telepon dan email pengguna.
Diketahui daftar jutaan pengguna Twitter baru saja bermunculan untuk dijual di dark web. Menurut pengawas keamanan dan privasi, Restore Privacy, daftar 5,4 juta email dan nomor telepon pengguna Twitter dijual di situs dark web bernama Breached Forums.
Peretas yang menjual daftar
tersebut mengklaim daftar berisi data pribadi mulai dari selebriti hingga
perusahaan. Kerentanan mulai ditemukan pada bulan Januari lalu. Kala itu,
pengguna HackerOne Zhirinovskiy mengirimkan laporan bug yang dia
temukan saat menganalisis basis kode Twitter.
Itu merupakan eksploitasi yang berpotensi memungkinkan aktor
dapat mengakses email dan nomor telepon pengguna Twitter. Meskipun tidak ada
tanda-tanda pelanggaran data pada saat itu, Zhirinovskiy khawatir.
“Ini adalah ancaman serius. Karena orang tidak hanya dapat
menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui
email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang
skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter,” kata
Zhirinovskiy dalam laporan bugnya.
Dilansir Digital
Trends, Selasa (26/7/2022), tanggapan laporan datang pada 6
Januari, lima hari setelah Zhirinovskiy memposting laporannya. “Terima kasih
atas laporan Anda @zhirnovksiy,” seorang kata karyawan Twitter bernama
bugtriage_simon. “Kami sedang menyelidiki ini dan akan terus memberi Anda
informasi terbaru. Terima kasih telah memikirkan keamanan Twitter,” tambahnya.
Kemudian pada 13 Januari, Twitter menutup laporan. “Kami
menganggap masalah ini telah diperbaiki sekarang. Bisakah Anda mengkonfirmasi?
” kata Twitter. "Saya dapat mengonfirmasi bahwa masalah telah
diperbaiki," jawab Zhirinovskiy pada hari yang sama.
Dilihat dari pertukaran komentar pada laporan bug awal, butuh
hampir dua pekan bagi Twitter untuk memperbaiki kerentanan. Pada titik
tertentu, aktor dapat menyelinap masuk dan mencuri 5,4 juta kumpulan data.
Apakah itu dilakukan sebelum Zhirinovskiy menemukan eksploitasi atau setelah
dia mempostingnya masih belum diketahui. Yang diketahui adalah email dan nomor
telepon itu sekarang dijual.
Sumber : Republika.
0 komentar :
Posting Komentar