Bug di Twitter, Nomor Kontak Bisa Dicocokkan dengan Akun
Ilustrasi
Cyberthreat.id - Seorang peneliti keamanan siber (cybersecurity) mengklaim berhasil memanfaatkan kelemahan atau cacat (bug) dalam aplikasi Android Twitter sehingga mampu mencocokkan 17 juta nomor telepon dengan akun pengguna Twitter.
Peneliti keamanan yang diidentifikasi bernama Ibrahim Balic menemukan bug Twitter dan melanjutkan eksperimen (pencocokan) selama berbulan-bulan. Hasilnya, ia dapat mengunggah daftar nomor ponsel menggunakan fitur unggahan kontak (upload contact) di aplikasi Android Twitter.
Lebih lanjut, Balic mencatat bahwa ia mengambil data pengguna Twitter yang cocok dan sesuai setelah si akun mengunggah/meng-upload kontak di akunnya.
"Jika Anda mengunggah nomor telepon Anda, maka sebagai balasannya mereka (aplikasi) akan mengambil data pengguna," kata Balic kepada TechCrunch, Kamis (26 Desember 2019).
Lebih dari dua bulan, Balic mencocokkan catatan dari pengguna di Israel, Turki, Iran, Yunani, Armenia, Prancis, dan Jerman. Twitter yang belakangan mengetahui aktivitas Balic kemudian memblokir upaya tersebut pada 20 Desember 2019.
Balic menjelaskan bahwa fitur unggahan/upload kontak Twitter tidak menerima daftar nomor telepon dalam format berurutan. Ia menduga cara itu mungkin untuk mencegah pencocokan secara telanjang. Jadi, dia menghasilkan (meng-generated) dua miliar nomor telepon, satu demi satu sebagai ganti format berurutan.
Dia kemudian mengacak angka-angka dan mengunggahnya ke Twitter melalui aplikasi Android. Namun, Balic menegaskan bug itu tidak ada dalam fitur upload berbasis web. Lewat cara ini, ia bisa mengambil data pengguna yang cocok dengan akun.
TechCrunch kemudian mencoba memberikan sampel nomor telepon. Tim kemudian memverifikasi temuannya dengan membandingkan pilihan nama pengguna secara acak dengan nomor telepon yang disediakan.
Balic belum memberi tahu Twitter tentang cacat tersebut. Sementara itu, ia mengambil banyak nomor telepon pengguna Twitter yang terkenal, termasuk politisi dan pejabat, ia share ke grup WhatsApp untuk memperingatkan mereka/korban secara langsung.
Seorang juru bicara Twitter mengatakan kepada TechCrunch bahwa perusahaan sedang bekerja untuk "memastikan bug ini tidak dapat dieksploitasi lagi."
"Setelah mengetahui bug ini, kami menangguhkan akun yang digunakan untuk mengakses informasi pribadi orang secara tidak tepat," kata juru bicara tersebut.
"Melindungi privasi dan keamanan orang-orang yang menggunakan Twitter adalah prioritas nomor satu kami, dan kami tetap fokus pada penghentian spam dan penyalahgunaan yang berasal dari penggunaan API Twitter."
