Sebuah celah keamanan di application programming interface (API) Twitter ditemukan pada Desember 2021 lalu. Meski sudah diperbaiki pada Januari 2022, bug tersebut sempat dimanfaatkan oleh hacker untuk mencuri jutaan data pengguna Twitter.
Banyak aktor kejahatan siber membobol dan mencuri hingga mencapai 5,4 juta data pengguna Twitter. Data tersebut kemudian dijual di forum hacker. Parahnya, pembobolan tidak terjadi sekali.
Celah keamanan terungkap dalam program bug hunter yang digelar situs web HackerOne pada Desember 2021. Twitter sudah menutupinya pada Januari 2022, tapi hacker dalam waktu singkat dapat mencuri 5,4 juta data pengguna Twitter, dan menjualnya di forum hacker.
Data yang dicuri ini berisi username, nomor telepon hingga email yang terdaftar di Twitter —yang harusnya tidak dapat diakses.
Melansir dari kumparan, peretas menjual database tersebut dalam dua kesempatan berbeda, yakni pada Juli 2022 dan November 2022.
Twitter juga sudah memeriksa data yang dijual pada Juli 2022, dan mengkonfirmasi data yang bocor tersebut valid. Mereka akan memberi tahu pengguna yang tedampak.
API adalah program yang biasa digunakan developer untuk menghubungkan satu aplikasi ke aplikasi lain. API Twitter memungkinkan developer memanfaatkan data publik (non konfidental) untuk pengembangan aplikasi, seperti bot, atau interaksi di website lain. Fitur embed juga termasuk dalam jenis API.
API seharusnya memberikan data yang sifatnya publik atau sudah tersedia, seperti username, tweet, waktu tweet, interaksi antar pengguna, dan lain-lain. Tidak seharusnya API dapat “memanggil” alamat email bahkan nomor HP pengguna, seperti yang terjadi pada bug ini.
Bug ini berasal dari kode yang dilepas pada Juli 2021 lalu. Sementara laporannya baru muncul pada Desember 2021 dan revisi patch-nya baru dirilis Januari 2022, ada kesempatan bagi hacker untuk mengeksploitasi celah ini.
Dibobol dua kelompok hacker berbeda
BleepingComputer melaporkan setidaknya dua hacker atau kelompok peretas memanfaatkan celah ini, dan menjual data yang didapat ke forum hacker.
Per Juli 2022, data total 5,4 juta pengguna Twitter dijual di situs Breached seharga 30 ribu dolar AS. Data ini terdiri dari username, nama, lokasi, status verifikasi, nomor HP hingga alamat email. Kasus inilah yang ditanggapi Twitter pada laman resminya.
Kemudian pada 24 November 2022, 5,4 juta data pengguna Twitter lain dibocorkan oleh pengguna yang berbeda di forum tersebut, yang dibagikan secara gratis. Data tersebut ditambah dengan 1,4 juta data pengguna yang ditangguhkan, membuat totalnya hampir 7 juta akun.
Data ini termasuk username, nama, status verifikasi, lokasi, URL, jumlah follower dan following, dan email serta nomor HP.
Pihak BleepingComputer berhasil memverifikasi sebagian nomor HP dari data sampel, yang merupakan pengguna dari Prancis. Mereka menemukan bahwa tidak ada dari nomor HP tersebut yang muncul dari 5,4 juta data pertama yang dijual Juli 2021 lalu, mengindikasikan dampak bug lebih besar daripada yang diperkirakan sebelumnya.
Belum ada tanggapan resmi Twitter terkait kebocoran yang terbaru.