Twitter telah mengkonfirmasi bahwa orang yang tidak dikenal mengeksploitasi kerentanan zero-day dalam layanan pesan singkat dan mampu mengumpulkan 5,4 juta catatan pengguna. Kesenjangan itu diketahui pada Januari tahun ini dan sudah diisi oleh Twitter pada saat itu. Pada bulan Juli, catatan muncul di forum untuk dijual. Bleeping Computer melaporkan bahwa Twitter kini telah mengkonfirmasi tingkat insiden dan keaslian data dan telah mulai memberi tahu mereka yang terkena dampak.
Kerentanan serius diumumkan pada 1 Januari di platform HackerOne; penemu mereka melaporkannya ke Twitter sebagai bagian dari program karunia bug dan menerima hadiah untuk itu. Ini memungkinkan proses otorisasi antara klien Twitter Android dan server Twitter untuk menautkan beberapa, bahkan pribadi, data pengguna (khususnya alamat email dan nomor telepon) ke akun Twitter. Penyerang yang tidak dikenal rupanya telah mengumpulkan data yang diekspos sebelum celah ditutup dan menawarkannya untuk dijual pada bulan Juli.
Pengguna diinformasikan
Twitter kini telah mengkonfirmasi jalannya acara dalam sebuah posting blog dan menyebutnya “disayangkan”. Dengan demikian, kesalahan sudah pada Juni 2021 dalam kode yang sesuai. Namun, pada Januari 2022, ketika Twitter menemukan kerentanan, perusahaan tidak dapat menemukan bukti akses data yang tidak sah. Kumpulan data yang muncul pada bulan Juli kini telah dianalisis dan keasliannya dikonfirmasi, kata posting blog.
Twitter juga mengumumkan bahwa mereka ingin menginformasikan kepada pengguna yang bersangkutan. Meskipun tidak ada kata sandi yang dicuri dalam insiden itu, perusahaan merekomendasikan penggunaan otentikasi dua faktor. Twitter merekomendasikan bahwa mereka yang mengoperasikan akun Twitter mereka dengan nama samaran tidak menyimpan data pribadi apa pun seperti alamat email atau nomor telepon yang dapat digunakan untuk mengidentifikasi mereka.
(dua)
“Pencinta kopi. Kutu buku alkohol yang ramah hipster. Pecandu media sosial yang setia. Ahli bir. Perintis zombie seumur hidup.”
