Hacker Klaim Jual Data 400 Juta Akun Twitter Rp 3,1 Miliar

123rf
Elon Musk menjadi pemegang saham Twitter
Penulis: Desy Setyowati
29/12/2022, 10.57 WIB

Peretas (hacker) dengan nama Ryushi mengklaim dirinya memiliki data 400 juta akun Twitter. Ia menjual data-data ini US$ 200 ribu atau sekitar Rp 3,1 miliar.

Data akun Twitter itu diduga diambil pada 2021. Hacker mengaku dirinya mendapatkan data ini menggunakan kerentanan antarmuka pemrogaman aplikasi alias Application Programming Interface (API).

“Kerentanan yang sama sebelumnya dikaitkan dengan pelanggaran data terpisah pada 2021,” demikian dikutip dari Apple Insider, Selasa (27/12). Bug API itu diperbaiki Twitter pada Januari.

Kerentanan memungkinkan penyerang memasukkan daftar nomor telepon dan alamat email ke dalam API, kemudian menerima ID pengguna Twitter terkait sebagai tanggapan.

"Saya mendapatkan akses dengan eksploitasi yang sama yang digunakan untuk kebocoran data 5,4 juta. Saya berbicara dengan penjualnya dan dia mengonfirmasi bahwa itu ada di alur login Twitter,” kata Ryushi kepada Bleeping Computer.

"Jadi, dalam pemeriksaan duplikasi, bocor ID pengguna yang saya konversi menggunakan API lain menjadi nama pengguna dan info lainnya.” Tambah dia.

Hacker Ryushi menyertakan data sampel dalam unggahannya di forum peretas, untuk beberapa figur publik, termasuk Mark Cuban, Donald Trump Jr., Alexandria Ocasio-Cortez, dan lainnya.

Data sampel itu berisi alamat email, nama, nama pengguna, jumlah pengikut, dan nomor telepon.

Hacker Ryushi mengklaim dirinya memiliki data 400 juta akun pengguna Twitter (Apple Insider)

Hacker memberi tahu BleepingComputer bahwa mereka ingin menjual data secara eksklusif kepada satu pembeli dan akan menghapus data sesudahnya.

Jika pembeli tidak ditemukan, mereka akan menjual salinan US$ 60 ribu atau Rp 936 juta per orang.

Hacker Ryushi juga mengaku sudah menghubungi Twitter, tetapi tidak mendapatkan tanggapan. “Kemungkinan karena tim tertentu di dalam perusahaan telah diberhentikan,” demikian dikutip.

Firma intelijen serangan siber Hudson Rock menilai, sulit untuk memverifikasi sepenuhnya data 400 juta akun Twitter tersebut. Namun, berdasarkan analisis data sampel, data yang dijual oleh Ryushi tampaknya valid.

Ia pun mengimbau beberapa hal kepada pengguna Twitter:

  • Mengubah alamat email akun, terutama menggunakan layanan seperti Hide My Email
  • Mengubah kata sandi dan membuat kata sandi yang rumit menggunakan pengelola kata sandi seperti Bitwarden atau iCloud Keychain
  • Menambahkan lapisan keamanan ekstra dengan autentikasi dua faktor
  • Pengguna juga harus mengetahui email yang terlihat mencurigakan
  • Menghindari mengeklik tautan atau membuka lampiran misalnya, jika email berisi tautan untuk mengubah kata sandi Twitter
  • Menavigasi situs web Twitter secara manual
  • Mengubah informasi login di pengaturan akun