Ada banyak berita Twitter yang beredar akhir-akhir ini, setelah lama dan kacau pengambilalihan Elon Musk. Tetapi jika Anda adalah (atau pernah menjadi) pengguna Twitter, saya berjanji, cerita khusus ini mungkin adalah sesuatu yang mungkin ingin Anda pantau.
Platform media sosial mengklaim bahwa harta karun berupa data pengguna yang bocor, berisi alamat email yang ditautkan ke sekitar 235 juta akun Twitter, tidak berasal dari sistemnya. Kompilasi informasi pengguna berakhir di pasar web gelap, dijual hanya sekitar $2, awal bulan ini, menurut beberapa laporan.
Meskipun alamat email dan akun Twitter yang sesuai mungkin tidak tampak seperti info sensitif, kebocoran tersebut menimbulkan kekhawatiran bahwa akun media sosial anonim dapat dikaitkan dengan identitas dunia nyata dan bahwa informasi tersebut akan membuat peretasan akun menjadi jauh lebih mudah. Awalnya, Twitter tidak menanggapi permintaan komentar atau informasi dari outlet media. Namun kini, sekitar seminggu kemudian, perusahaan telah merilis pernyataan.
“Berdasarkan informasi dan intel yang dianalisis untuk menyelidiki masalah tersebut, tidak ada bukti bahwa data yang dijual secara online diperoleh dengan mengeksploitasi kerentanan sistem Twitter,” tulis perusahaan tersebut, mengenai 235 juta poin data pengguna tersebut, dalam posting blog Rabu malam. . “Data tersebut kemungkinan merupakan kumpulan data yang sudah tersedia untuk umum secara online melalui berbagai sumber,” klaim postingan tersebut.
Segera setelah deteksi kebocoran pada 4 Januari, Bleeping Computer dilaporkan mengkonfirmasi validitas sejumlah email. Outlet berita yang berfokus pada keamanan siber juga menautkan 235 juta email/pasangan akun tersebut ke kebocoran awal Desember, yang berisi nomor telepon dan email yang ditautkan dengan sekitar 400 juta akun Twitter. Catatan: Twitter hanya memiliki sekitar 368 juta pengguna aktif bulanan pada Desember 2022, sehingga data yang bocor, secara teori, dapat mencakup semua akun ini. Diduga, kebocoran Januari yang lebih kecil adalah versi bersih dari data sebelumnya dengan lebih sedikit duplikat, menurut Bleeping Computer.
G/O Media dapat memperoleh komisi
Kredit hingga $100
Cadangan Samsung
Pesan perangkat Samsung generasi berikutnya
Yang perlu Anda lakukan hanyalah mendaftar dengan email dan boom: kredit untuk preorder Anda di perangkat Samsung baru.
Dan, dalam beberapa laporan, kedua pembuangan data tersebut dianggap terkait dengan kegagalan keamanan yang lebih awal, yang diakui Twitter secara publik pada Agustus 2022. Cacat fatal dalam antarmuka program aplikasi (API) platform sosial memungkinkan siapa saja untuk mendapatkan Twitter ID pengguna dengan menelusuri ponsel atau emailnya—meskipun pengguna yang dimaksud tidak menautkan ponsel atau emailnya secara publik dengan akun Twitter mereka. Perusahaan mengakui bahwa cacat API terkait dengan data yang dijual oleh “aktor jahat”, dan mengklaim memberi tahu pengguna yang terpengaruh.
Padahal, pernyataannya hari Rabu, Twitter kini telah membantah tautan ini. Perusahaan mengklaim bahwa, setelah penyelidikan internal, kebocoran pengguna 400 juta Desember “tidak dapat dikorelasikan dengan insiden yang dilaporkan sebelumnya, atau dengan insiden baru apa pun.” Dan bahwa kumpulan data akun 200 juta Januari, “tidak dapat dikorelasikan dengan insiden yang dilaporkan sebelumnya atau data apa pun yang berasal dari eksploitasi sistem Twitter.” Selanjutnya, perusahaan mengklaim bahwa kedua kumpulan data itu sama, dengan yang lebih kecil hanya dibersihkan dari duplikat—mendukung laporan sebelumnya.
Posting blog Twitter juga mencatat bahwa perusahaan saat ini berhubungan dengan “Otoritas Perlindungan Data dan regulator terkait lainnya… untuk memberikan klarifikasi tentang dugaan insiden tersebut.” Namun, disitulah penjelasan situs berakhir. Twitter tidak memberikan informasi tambahan tentang bagaimana, tepatnya, kompilasi akurat dari ratusan juta data akun Twitter berakhir di pasar peretas. Dan, jelas, perusahaan yang menyangkal tanggung jawab tidak mengubah informasi yang ada di luar sana.
Gizmodo menghubungi Twitter untuk informasi lebih lanjut, tetapi tidak segera menerima tanggapan. Menyusul akuisisi situs oleh Musk — perusahaan membubarkan departemen hubungan masyarakatnya.
Seluruh bencana data ini hanyalah yang terbaru dalam sejarah panjang pelanggaran dan kegagalan keamanan Twitter. Pada tahun 2020, peretasan besar-besaran yang menargetkan pengguna selebritas mengakibatkan akun resmi mantan Presiden Barack Obama, antara lain, men-tweet penipuan crypto. Dan pada tahun 2019, platform media sosial mengungkapkan pelanggaran lain yang berarti tweet “pribadi” dari pengguna Android sebenarnya tidak bersifat pribadi.
Komisi Perlindungan Data Irlandia mendenda twitter lebih dari setengah juta dolar karena tidak segera melaporkan dan mendokumentasikan pelanggaran Android tersebut. Regulator Irlandia yang sama juga menyelidiki kerentanan API platform, dalam penyelidikan yang diumumkan pada bulan Desember.