Peretas Dimanfaatkan Twitter Bug untuk Menemukan Nomor Telepon Pengguna yang Ditautkan
Twitter hari ini mengeluarkan peringatan yang mengungkapkan bahwa penyerang menyalahgunakan fungsionalitas yang sah pada platformnya untuk secara tidak sah menentukan nomor telepon yang terkait dengan jutaan akun penggunanya.
Menurut Twitter, kerentanan berada di salah satu API yang telah dirancang untuk memudahkan pengguna menemukan orang yang mungkin sudah mereka kenal di Twitter dengan mencocokkan nomor telepon yang disimpan dalam kontak mereka dengan akun twitter.
Untuk dicatat, fitur ini bekerja tepat seperti yang dimaksudkan, kecuali seseorang tidak seharusnya mengunggah jutaan nomor telepon dan penyalahgunaan yang dihasilkan secara acak Twitter untuk mengungkapkan profil yang terkait dengan informasi kontak yang ditambahkan oleh pengguna Twitter untuk mengaktifkan fitur keamanan.
Meskipun perusahaan tidak yakin apakah bug itu hanya dieksploitasi oleh satu musuh atau beberapa kelompok, ia telah mengidentifikasi beberapa akun yang terlibat dalam serangan yang berlokasi di berbagai negara, terutama dari Iran, Israel, dan Malaysia.
Berdasarkan alamat IP mereka, Twitter yakin beberapa akun yang mengeksploitasi cacat API mungkin memiliki ikatan dengan aktor yang disponsori negara; dengan demikian, ini "mengungkapkan [insiden] ini karena kehati-hatian dan sebagai prinsip."
"Kami segera menangguhkan akun-akun ini dan mengungkapkan rincian penyelidikan kami kepada Anda hari ini karena kami yakin penting bagi Anda untuk mengetahui apa yang terjadi, dan bagaimana kami memperbaikinya," Twitter kata dalam posting blog.
Perusahaan menjadi sadar akan masalah ini pada 24 Desember tahun lalu setelah seorang peneliti keamanan 'tidak etis' mengeksploitasi celah yang sama, atau sama, di Twitter untuk berhasil mencocokkan hampir 17 juta nomor telepon ke profil mereka.
Twitter mengatakan situs jejaring sosial tersebut telah menangani masalah tersebut dan tidak ada tindakan yang diperlukan dari sisi pengguna.
"Setelah penyelidikan kami, kami segera melakukan sejumlah perubahan pada titik akhir ini sehingga tidak dapat lagi mengembalikan nama akun tertentu sebagai jawaban atas pertanyaan," Twitter katanya.
Namun, jika Anda tidak menyadarinya, Anda juga dapat menghentikan siapa pun menemukan profil Anda berdasarkan alamat email atau nomor telepon Anda dengan menavigasi ke pengaturan 'Discoverability' di Twitter akun dan nonaktifkan.
