Basis data yang berisi data 5,4 juta akun Twitter tersedia untuk dijual

idNSA.id - Seorang hacker telah membocorkan data 5,4 juta akun Twitter yang diperoleh dengan mengeksploitasi kerentanan yang sekarang diperbaiki di platform media sosial populer.

Pelaku sekarang menawarkan untuk menjual data yang dicuri di forum peretasan populer Breached Forums. Pada bulan Januari, sebuah laporan yang diterbitkan di Hacker mengklaim penemuan kerentanan yang dapat dieksploitasi oleh penyerang untuk menemukan akun Twitter dengan nomor telepon/email terkait, bahkan jika pengguna telah memilih untuk mencegahnya dalam opsi privasi.

“Kerentanan memungkinkan pihak mana pun tanpa otentikasi apa pun untuk mendapatkan ID twitter (yang hampir sama dengan mendapatkan nama pengguna akun) dari pengguna mana pun dengan mengirimkan nomor telepon/email meskipun pengguna telah melarang tindakan ini di pengaturan privasi. Bug tersebut terjadi karena proses otorisasi yang digunakan di Android Client of Twitter, khususnya dalam proses pengecekan duplikasi akun Twitter.” membaca deskripsi dalam laporan yang dikirimkan oleh zhirinovskiy  melalui platform bug bounty HackerOne.

“Ini adalah ancaman serius, karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang dengan pengetahuan dasar tentang scripting/coding dapat menghitung sebagian besar basis pengguna Twitter yang tidak tersedia. ke enumerasi sebelumnya (buat database dengan koneksi telepon/email ke nama pengguna). Basis semacam itu dapat dijual ke pihak yang salah untuk tujuan periklanan, atau untuk tujuan menandai selebriti dalam kegiatan jahat yang berbeda”

Twitter mengkonfirmasi keberadaan kerentanan ini dan menghadiahkan zhirinovskiy dengan hadiah $5,040. Situs web Restore Privacy pertama kali menemukan iklan untuk kumpulan besar data di Forum yang Dilanggar.

Penjual mengklaim bahwa database berisi data (yaitu email, nomor telepon) pengguna mulai dari selebriti hingga perusahaan. Penjual juga membagikan contoh data berupa file csv.

Beberapa jam setelah posting dibuat, pemilik Forum Pelanggaran memverifikasi keaslian kebocoran dan juga menunjukkan bahwa itu diekstraksi melalui kerentanan dari laporan HackerOne di atas.” membaca posting yang diterbitkan oleh RestorePrivacy.

“Kami mengunduh database sampel untuk verifikasi dan analisis. Ini termasuk orang-orang dari seluruh dunia, dengan informasi profil publik serta email atau nomor telepon pengguna Twitter yang digunakan dengan akun tersebut.” Penjual mengatakan kepada RestorePrivacy bahwa dia meminta setidaknya $30.000 untuk seluruh database.