Twitter menutup lubang keamanan utama tetapi tidak sebelum seorang peretas mengekspos 5,4 juta pengguna

Halo kawan dekat TanyaTekno, jumpa kembali kita di artikel ini. Di artikel ini saya dapat mengupas Twitter menutup lubang keamanan utama tetapi tidak sebelum seorang peretas mengekspos 5,4 juta pengguna

tl; DR: Twitter telah mengakui pelanggaran data yang mungkin menyembunyikan akun pengguna. Meskipun tidak ada angka sebenarnya yang ditampilkan, laporan sebelumnya menunjukkan kerentanan yang mengekspos lebih dari 5,4 juta ID Twitter, nomor telepon, dan alamat email terkait. Twitter menambal kerentanan pada Januari, tetapi “aktor jahat” diduga menggunakannya bulan sebelumnya untuk mengikis data.

Minggu lalu, Twitter dikonfirmasi Peretas itu telah meretas beberapa akun di platformnya. Pengembang menciptakan cacat dengan pembaruan klien Android Juni 2021 mereka, yang memungkinkan aktor jahat untuk mengaitkan akun pengguna dengan alamat email dan nomor telepon. Twitter mengetahui kerentanan melalui program karunia bug pada Januari 2022 dan segera menambalnya dengan berpikir tidak ada yang terpengaruh.

Namun, bulan lalu BleepingComputer melaporkan bahwa mereka telah menemukan database di forum peretas yang berisi nomor telepon dan alamat email yang terkait dengan lebih dari 5,4 juta akun Twitter.

“Halo, hari ini saya mempersembahkan kepada Anda data yang dikumpulkan dari banyak pengguna yang menggunakan Twitter melalui kerentanan. (5485636 pengguna tepatnya),” kata peretas yang menyebut dirinya “Setan” dalam postingannya. “Pengguna ini berkisar dari selebriti, hingga bisnis, acak, OG, dll. [sic]. “

Memulihkan Privasi menunjukkan bahwa Setan ingin mendapatkan setidaknya $30.000 untuk data yang dicuri, dan dia mengatakan dia telah menerima beberapa gigitan dari pihak yang berkepentingan.

Peneliti keamanan dan pemburu hadiah dari “zhirinovskiy” mengatakan bahwa kelemahan tersebut memungkinkan siapa saja untuk mendapatkan ID Twitter pengguna dengan mengirimkan nomor telepon/email. Eksploitasi berfungsi bahkan jika akun pengguna diatur agar tidak terdeteksi dalam pengaturan. Itu juga tidak memerlukan otentikasi – hanya beberapa kode.

“Bug itu ada karena proses otorisasi yang digunakan di Android Client of Twitter,” kata zhirinovskiy, yang melaporkan bug tersebut melalui HackerOne. Khususnya dalam pemeriksaan duplikasi akun Twitter [sic]. “

Pada dasarnya, daemon memberi makan nomor telepon atau email sistem dan kembali jika dikaitkan dengan ID Twitter. Dari sana, sangat mudah untuk membuat profil dari pos yang tersedia untuk umum dan informasi lainnya.

Zhirinovsky melaporkan bug tersebut ke Twitter pada 1 Januari, dan pengembang merilis perbaikan pada 13 Januari. Namun, Setan mengklaim bahwa dia mengumpulkan data pada Desember 2021 sebelum mengoreksinya. Beberapa menyarankan bahwa Setan dan zhirinovskiy adalah orang yang sama dan dia mencoba untuk menguangkan kedua belah pihak. Setan menyangkal tuduhan ini hampir dengan kekuatan besar – seolah-olah dia menyembunyikan sesuatu.

“Saya tidak ingin topi putih dalam masalah yang Anda laporkan pada H1 [sic], katanya kepada BleepingComputer. “Saya pikir banyak orang mencoba menghubungkannya dengan saya, saya akan marah jika saya jadi dia. Jadi saya tidak bisa cukup menekankan ini bahwa saya tidak ada hubungannya dengan dia atau H1.”

Konfirmasi Twitter tidak menunjukkan jumlah akun pengguna yang disusupi, tetapi jelas bahwa kami menghadapi kerentanan yang sama yang dilaporkan oleh zhirinovskiy dan dieksploitasi oleh Setan. Perusahaan mengatakan akan memberi tahu pengguna yang terpengaruh, kemungkinan melalui alamat email mereka yang sekarang terbuka. Saya terutama memperhatikan akun anonim.

“Jika Anda mengoperasikan akun Twitter dengan nama samaran, kami memahami risiko yang dapat ditimbulkan oleh insiden seperti ini dan sangat menyesalkan hal ini. Untuk menjaga identitas Anda tetap anonim, kami menyarankan Anda untuk tidak menambahkan nomor telepon atau alamat email yang diketahui publik ke akun Twitter Anda.”

Meskipun kata sandi tidak diretas, Twitter menyarankan setiap pengguna yang khawatir untuk menggunakan aplikasi otentikasi dua faktor atau kunci keamanan perangkat keras untuk melindungi akun mereka.

Kredit gambar: Posting forum oleh BleepingComputer, Obrolan Setan dengan Memulihkan Privasi

Demikianlah pembahasantentang Twitter menutup lubang keamanan utama tetapi tidak sebelum seorang peretas mengekspos 5,4 juta pengguna

. Jangan Lupa untuk
berbagi artikel ini ya sobat.

Rujukan Artikel