Cyberthreat.id – Twitter telah mengkonfirmasi pelanggaran data baru-baru ini terjadi disebabkan oleh kerentanan zero-day. Kerentanan ini memungkinkan aktor ancaman untuk menyusun daftar 5,4 juta profil akun pengguna.

Dikutip dari Bleeping Computer, Twitter mengatakan bahwa kerentanan yang digunakan oleh aktor ancaman pada bulan Desember lalu, sama dengan yang dilaporkan dan diperbaiki oleh mereka pada Januari 2022 sebagai bagian dari program hadiah bug HackerOne mereka.

Pada Januari 2022, kami menerima laporan melalui program bug bounty kami tentang kerentanan yang memungkinkan seseorang mengidentifikasi email atau nomor telepon yang terkait dengan suatu akun atau, jika mereka mengetahui email atau nomor telepon seseorang, mereka dapat mengidentifikasi akun Twitter mereka, jika ada, ungkap Twitter dalam peringatan keamanan hari ini.

Twitter menjelaskan, kerentanan ini dihasilkan dari pembaruan kode kami pada Juni 2021. Ketika mengetahui hal ini, pihaknya segera menyelidiki dan memperbaikinya. Namun, pada saat itu, mereka tidak memiliki bukti yang menunjukkan seseorang telah memanfaatkan kerentanan tersebut.

“Kami telah mulai mengirimkan pemberitahuan pagi ini untuk memperingatkan pengguna yang terkena dampak tentang apakah pelanggaran data mengekspos nomor telepon atau alamat email mereka, kata Twitter.

Twitter mengatakan, bahwa mereka tidak dapat menentukan jumlah pasti orang yang terkena dampak pelanggaran tersebut. Namun, pelaku ancaman mengklaim telah menggunakan kelemahan tersebut untuk mengumpulkan data dari 5.485.636 pengguna Twitter.

Meskipun tidak ada kata sandi yang terungkap dalam pelanggaran ini, Twitter mendorong pengguna untuk mengaktifkan otentikasi 2 faktor di akun mereka untuk mencegah login yang tidak sah sebagai tindakan keamanan.  Mereka juga mengingatkan, bagi pengguna yang menggunakan akun Twitter pseudonym (dengan nama samara), untuk menjaga identitasnya se-anonim mungkin dengan tidak menggunakan nomor telepon atau alamat email yang diketahui publik di akun Twitter.

Kami menerbitkan pembaruan ini karena kami tidak dapat mengonfirmasi setiap akun yang berpotensi terkena dampak, dan terutama memperhatikan orang-orang dengan akun pseudonim yang dapat ditargetkan oleh negara atau aktor lain, peringatan Twitter memperingatkan.

Selain itu, karena dua pelaku ancaman yang berbeda telah membeli data ini, pengguna harus waspada terhadap kampanye spear-phishing bertarget yang menggunakan data ini untuk mencuri kredensial login Twitter.

Bulan lalu, BleepingComputer berhasil mewawancari aktor ancaman yang mengatakan bahwa mereka mampu membuat daftar 5,4 juta profil akun Twitter menggunakan kerentanan di situs media sosial.

Kerentanan ini memungkinkan aktor ancaman untuk membuat profil dari 5,4 juta pengguna Twitter pada Desember 2021, termasuk nomor telepon atau alamat email yang diverifikasi, dan informasi publik yang tergores, seperti jumlah pengikut, nama layar, nama login, lokasi, URL gambar profil, dan lainnya. informasi. Pada saat itu, pelaku ancaman menjual data seharga $30.000 dan telah memberi tahu BleepingComputer bahwa ada pembeli yang tertarik.