Jakarta, CNBC Indonesia - Data ratusan juta pengguna Twitter dilaporkan telah dibobol. Pelaku mengklaim punya data publik dan pribadi dari 400 juta pengguna Twitter yang diambil pada tahun 2021 dengan menggunakan kerentanan API yang sekarang telah diperbaiki.

Informasi ini diketahui setelah akun bernama Ryushi mengunggahnya di forum dark web. Hacker meminta tebusan US$ 200.000 atau sekitar Rp 3,1 miliar agar data tersebut bisa dikembalikan ke Twitter.

Menurut akun tersebut, nilai tebusan jauh lebih sedikit daripada denda yang bisa diberikan pada Twitter apabila nantinya mendapat hukuman karena melanggar regulasi perlindungan data pribadi Uni Eropa atau GDPR akibat kasus ini.

-

-

"Twitter atau Elon Musk jika Anda membaca ini, Anda sudah mempertaruhkan denda GDPR atas pelanggaran 5,4 juta yang menggambarkan denda sumber pelanggaran pengguna 400 juta," tulis Ryushi dalam posting forum, dikutip dari Bleeping Computer, Kamis (29/12/2022).

Akun itu lalu membandingkannya dengan kasus Facebook yang harus membayar denda USD 276 juta akibat kebocoran data sekitar 533 juta pengguna.

"Pilihan terbaik Anda untuk menghindari membayar denda pelanggaran GDPR sebesar US$276 juta seperti yang dilakukan Facebook adalah dengan membeli data ini secara eksklusif," tegasnya.

Pelaku ancaman juga menautkan ke postingan yang menjelaskan bagaimana data ini dapat disalahgunakan oleh pelaku ancaman lain untuk serangan phishing, penipuan crypto, dan serangan BEC.

Posting forum mencakup data sampel untuk tiga puluh tujuh selebritas, politisi, jurnalis, perusahaan, dan lembaga pemerintah, termasuk Alexandria Ocasio-Cortez, Donald Trump JR, Mark Cuba, Kevin O'Leary, dan Piers Morgan. Selain itu, sampel yang lebih besar dari 1.000 profil pengguna Twitter bocor kemudian.

Profil pengguna berisi data Twitter publik dan pribadi, termasuk alamat email pengguna, nama, nama pengguna, jumlah pengikut, tanggal pembuatan akun, dan nomor telepon.

Meskipun hampir semua data ini dapat diakses publik oleh semua pengguna Twitter, nomor telepon dan alamat email merupakan informasi pribadi.

Aktor ancaman Ryushi memberi tahu Bleeping Computer bahwa mereka mencoba untuk menjual data Twitter secara eksklusif kepada satu orang/Twitter seharga US$200.000 dan kemudian akan menghapus data tersebut.

Jika pembelian eksklusif tidak dilakukan, mereka akan menjual data tersebut ke banyak orang seharga US$60 ribu per data.

Pelaku mengonfirmasi kepada BleepingComputer bahwa mereka mengumpulkan nomor telepon pribadi dan alamat email menggunakan kerentanan API yang diperbaiki Twitter pada Januari 2022 dan sebelumnya dikaitkan dengan pelanggaran data 5,4 juta pengguna.

Kerentanan ini memungkinkan seseorang memasukkan sejumlah besar nomor telepon dan alamat email ke API Twitter dan menerima ID pengguna Twitter terkait. Pelaku ancaman kemudian menggunakan ID ini dengan IP lain untuk mengambil data profil publik pengguna, membangun profil pengguna Twitter yang terdiri dari data publik dan pribadi.

"Saya mendapatkan akses dengan eksploit yang sama yang digunakan untuk kebocoran data 5,4 juta. Saya berbicara dengan penjualnya dan dia mengonfirmasi bahwa itu ada di alur masuk twitter", ujar aktor ancaman tersebut kepada BleepingComputer.

[-]

-

Momen Unik Elon Musk Tenteng Wastafel ke Markas Twitter
(dem)