5,4 juta data akun Twitter bocor dan dijual sekitar Rp450 juta
Seorang peretas bernama “Devil” mengklaim telah berhasil mendapatkan lebih dari 5,4 juta data akun Twitter yang tengah dijual seharga USD $30.000 atau sekitar Rp450 juta di hacker forum.
Pasalnya, hasil retasan Devil mampu mengakses Twitter ID pengguna melalui nomor telepon dan atau alamat email yang digunakan. Rupanya, jutaan akun yang berhasil diretasnya adalah akun-akun acak, termasuk di dalamnya milik para selebriti dunia hingga perusahaan-perusahaan besar.
"Hallo, hari ini saya sajikan untuk Anda kumpulan data para pengguna Twitter, (tepatnya 5.485.636 akun pengguna)," bunyi pengumuman Devil dalam forum peretas, melansir Restore Privacy (21/7).
Data tersebut diambil peretas melalui kerentanan data Twitter yang terjadi pada Januari lalu. Kebocoran data tersebut disinyalir adalah akibat dari kerentanan proses otorisasi data para pengguna Android.
Dugaan kerentanan Twitter pertama dilaporkan seorang topi putih (ethical hacker) dalam HackerOne dengan nama akun “zhirinovskiy”. Ia menjelaskan bahwa kejadian tersebut memungkinkan para penyerang untuk mengambil nomor telepon dan alamat email pengguna. Bahkan, tak menutup kemungkinan sekalipun akun itu telah melakukan pengaturan menyembunyikan atau membatasi data.
Sang topi putih itu pun turut menyatakan kekhawatirannya akan kemungkinan penipuan seperti email phising bahkan potensi penjualan data oleh pihak tak bertanggung jawab yang dapat terjadi suatu hari.
Pasalnya, menurut zhirinovskiy, siapa pun yang mengetahui dasar skrip dan coding dapat dengan mudah mengambil sebagian besar basis data pengguna Twitter. "Basis semacam itu dapat dijual ke pihak jahat untuk tujuan periklanan, atau untuk tujuan menyerang selebriti," tulis zhirinovskiy dalam laporannya.
Ia bahkan mendapatkan imbalan sebesar USD $5,040 dari Twitter atas laporannya. Lantas, prediksi zhirinovskiy pada Januari lalu terbukti akurat, penjualan data dari Devil masih berlangsung hingga hari ini.
Kepada Restore Privacy, Devil menyampaikan, informasi tentang peretasan yang dilakukan sama persis dengan informasi yang dilaporkan dalam HackerOne, meski dirinya tak terafiliasi dengan zhirinovskiy.
Di sisi lain, melansir BleepingComputer, sang peretas menegaskan bahwa dirinya tidak ada hubungan dengan topi putih. "Saya tak ingin mempermasalahkan topi putih yang melaporkan pada H1. Saya rasa banyak yang berusaha menghubungkannya dengan saya. Saya sendiri akan sangat marah bila saya adalah dirinya. Jadi saya ingin menekankan, saya tidak terhubung dengannya maupun H1," ujar Devil.