Data 400 Juta Pengguna Twitter Dijual di Pasar Gelap

Poin-poin Utama:

• Email pribadi dan nomor telepon yang terhubung dari akun 400 juta pengguna Twitter dijual di pasar gelap.

• Hudson Rock menyatakan bahwa meskipun belum memungkinkan untuk sepenuhnya memvalidasi klaim peretas, "verifikasi independen terhadap data itu sendiri tampaknya nyata."

• Mengingat ada sekitar 450 juta pengguna aktif setiap bulannya, beberapa orang menyatakan bahwa pelanggaran sebesar itu sulit dipahami.

Menurut laporan, email pribadi dan nomor telepon yang terhubung dari akun 400 juta pengguna Twitter dijual di pasar gelap.

Pada tanggal 24 Desember, perusahaan intelijen kejahatan dunia maya Hudson Rock mengemukakan dugaan “ancaman kredibel” berupa penjualan basis data pribadi yang berisi informasi kontak 400 juta akun pengguna Twitter.

“Basis data pribadi tersebut berisi sejumlah besar informasi yang menghancurkan termasuk email dan nomor telepon pengguna terkenal seperti AOC, Kevin O’Leary, Vitalik Buterin & lainnya,” kata Hudson Rock

“Dalam postingan tersebut, pelaku ancaman mengklaim data tersebut diperoleh pada awal tahun 2022 karena adanya kerentanan di Twitter, serta berupaya memeras Elon Musk untuk membeli data tersebut atau menghadapi tuntutan hukum GDPR.”

Mengingat banyaknya akun, Hudson Rock menyatakan bahwa meskipun belum sepenuhnya dapat divalidasi klaim peretas, "verifikasi independen terhadap data itu sendiri tampaknya nyata."

TERKINI: Hudson Rock menemukan pelaku ancaman kredibel menjual data 400.000.000 pengguna Twitter. Basis data pribadi tersebut berisi informasi yang sangat banyak, termasuk email dan nomor telepon pengguna terkenal seperti AOC, Kevin O'Leary, Vitalik Buterin, dan lainnya (1/2). pic.twitter.com/wQU5LLQeE1

— Hudson Rock (@RockHudsonRock)    24 Desember 2022   

DeFiYield, sebuah perusahaan keamanan Web3, memeriksa 1.000 akun yang diberikan oleh peretas sebagai sampel dan mengonfirmasi bahwa informasi tersebut "asli". Selain itu, perusahaan tersebut berkomunikasi dengan peretas melalui Telegram, dan menyatakan bahwa mereka sangat menantikan pembelian di sana.

Jika terkonfirmasi, pelanggaran tersebut mungkin menimbulkan risiko serius bagi pengguna Twitter mata uang kripto, terutama mereka yang menggunakan alias.

Mengingat ada sekitar 450 juta pengguna aktif setiap bulannya, beberapa orang menyatakan bahwa pelanggaran sebesar itu sulit dipahami.

Hingga tulisan ini dibuat, peretas yang diduga masih mengunggah postingan di Breached yang menawarkan basis data tersebut kepada pembeli. Sebuah ajakan khusus juga disertakan agar Elon Musk membayar $276 juta untuk mencegah penjualan data tersebut dan denda dari badan Regulasi Perlindungan Data Umum.

Musk harus membayar tebusan sebelum peretas menghancurkan data dan berjanji tidak akan menjualnya kepada siapa pun, klaim mereka, "demi menyelamatkan banyak politisi dan selebritas dari phishing, penipuan kripto, pertukaran SIM, doxxing, dan hal-hal lainnya."

Peretasan Zero-Day di Twitter, yang melibatkan eksploitasi kerentanan antarmuka pemrograman aplikasi (APC) sejak Juni 2021 sebelum diperbaiki pada Januari tahun ini, diduga menjadi sumber data yang dibobol tersebut.

Peretas dapat membuat basis data yang kemudian mereka jual di web gelap

Selain basis data yang diduga ini, dua basis data lain juga telah ditemukan, yang satu diperkirakan memiliki 5,5 juta pengguna dan yang lainnya, yang mungkin memiliki sebanyak 17 juta, menurut laporan dari Bleeping Computer pada tanggal 27 November.

Upaya phishing yang ditargetkan melalui teks dan email, serangan pengalihan sim untuk mengakses akun, dan doxing informasi pribadi merupakan risiko yang terkait dengan pelepasan informasi tersebut secara daring.

Data lebih dari 400 juta akun Twitter dijual, di antaranya yang paling penting adalah nama pengguna, nomor ponsel, dan email. Peretas berhasil memberikan contoh daftar 1000 nama pengguna, dan saya berhasil memverifikasi banyak di antaranya. pic.twitter.com/qcrloExBUK

— Haseeb Awan – efani.com (@haseeb) 25 Desember 2022

Orang-orang disarankan untuk mengadopsi langkah-langkah keamanan, termasuk memperbarui kata sandi mereka dan menyimpannya dengan aman, memanfaatkan dompet kripto pribadi yang dihosting sendiri, dan memastikan pengaturan autentikasi dua faktor diaktifkan untuk beberapa akun mereka melalui aplikasi daripada nomor telepon mereka.