Peretasan 400 Juta Data Pengguna Twitter Bocor ke Publik

650518s172

Seorang Peretas yang mengidentifikasi dirinya sebagai “Ryushi” mengklaim telah menjual data pribadi 400 juta pengguna Twitter yang diambil pada tahun 2021 dan menyampaikan ancaman terhadap Twitter dan CEO-nya, Elon Musk dengan mengeksploitasi kerentanan API (Application Programming Interface) yang kini telah perbaiki. Ryushi juga menyampaikan akan menjual data yang diklaimnya melalui website Breach Forum.

“Twitter atau Elon, jika Anda membaca ini, Anda akan menghadapi denda GDPR karena bocornya 5,4 juta data sebagai cerminan dari denda karena membocorkan 400 juta data pengguna,” tulis Ryushi di forum Bleeping Computer. “Pilihan terbaik menghindari membayar denda $276 juta seperti yang ditempuh Facebook hanya dengan membeli data itu dari saya,” tulisnya kembali. (sebelumnya sempat diisukan ada 533 juta data user facebook yang diretas).

Mengacu pada Situs web AWS Amazon, GDPR adalah Regulasi Perlindungan Data Umum di Uni Eropa ( General Data Protection Regulation ). Dalam situs resminya, GDPR diklaim sebagai regulasi paling ketat terkait keamanan dan data pribadi di dunia. Meskipun dirancang dan diratifikasi di UE (Uni Eropa), GDPR mewajibkan semua organisasi di mana saja untuk mematuhi kebijakannya selama mereka mengumpulkan data tentang warga negara di UE. Regulasi ini mulai berlaku pada 25 Mei 2018.

GDPR akan mengenakan denda yang sangat besar bagi mereka yang menyalahi standar privasi dan keamanan, bisa sampai puluhan juta euro,” tulisnya. Peretas Ryushi mendaftarkan sampel data milik 37 selebritas, jurnalis, politisi, perusahaan, dan lembaga pemerintah. Salah satu di antaranya yaitu Alexandria Ocasio-Ortez, Mark Cuba, Donald Trump Jr., Kevin O’Leary, serta Piers Morgan.

Selain itu, ada juga data profil 1000 pengguna Twitter disertakan setelahnya. Data yang diklaim bocor meliputi alamat email, nama, username (ID), jumlah pengikut, tanggal pembuatan, dan nomor telepon. Namun, sebagian besar user yang datanya diretas tidak memiliki nomor hp.

Meskipun sebagian besar data ini tersedia untuk umum bagi semua pengguna Twitter, nomor hp dan email merupakan informasi pribadi. Merujuk pada Tech Radar, Ryushi akan menjual data tersebut ke beberapa pengguna dengan nilai USD 60 ribu per buah. Ini dilakukan jika penjualan ke Twitter senilai US$200 ribu tidak berhasil. Kepada Bleeping Computer, Ryushi mengaku sudah menghubungi Twitter. Namun media sosial tersebut tidak merespon. Tak hanya itu, Ryushi juga mengaku mendapatkan data berupa nomor hp dan email menggunakan kerentanan API yang telah diperbaiki Twitter pada Januari 2022. Kerentanan tersebut sebelumnya dikaitkan dengan peretasan datar 5,4 juta pengguna sebelumnya.

Kerentanan memungkinkan seseorang untuk memberikan daftar nomor hp dan email ke API Twitter dan menerima ID pengguna Twitter terkait. Peretas kemudian menggunakan ID ini dengan alamat IP yang berbeda untuk mengambil data profil publik pengguna sehingga mereka dapat membuat profil Twitter yang terdiri dari data publik dan pribadi. “Saya memperoleh akses dengan trik yang sama dengan yang dipakai untuk kebocoran 5,4 juta data sebelumnya.

Saya berbicara dengan penjual data dan dia mengonfirmasi bahwa itu ada di log aliran Twitter,” katanya. “Jadi dengan pengecekan duplikasi, akses itu dapat membocorkan ID pengguna, yang kemudian saya ubah menggunakan API lain menjadi informasi nama pengguna dan informasi lainnya,”