Diketahui wp-signup.php jutaan pengguna Twitter baru saja bermunculan untuk dijual di dark web. Menurut pengawas keamanan dan privasi, Restore Privacy, wp-signup.php 5,4 juta email dan nomor telepon pengguna Twitter dijual di situs dark web bernama Breached Forums.
Peretas yang menjual wp-signup.php tersebut mengklaim wp-signup.php berisi data pribadi mulai dari selebriti hingga perusahaan. Kerentanan mulai ditemukan pada bulan Januari lalu. Kala itu, pengguna HackerOne Zhirinovskiy mengirimkan laporan bug yang dia temukan saat menganalisis basis kode Twitter.
Itu merupakan eksploitasi yang berpotensi memungkinkan aktor dapat mengakses email dan nomor telepon pengguna Twitter. Meskipun tidak ada tanda-tanda pelanggaran data pada saat itu, Zhirinovskiy khawatir.
“Ini adalah ancaman serius. Karena orang tidak hanya dapat menemukan pengguna yang telah membatasi kemampuan untuk ditemukan melalui email/nomor telepon, tetapi penyerang mana pun dengan pengetahuan dasar tentang skrip/pengkodean dapat menghitung sebagian besar basis pengguna Twitter,” kata Zhirinovskiy dalam laporan bugnya.
Dilansir Digital Trends, Selasa (26/7/2022), tanggapan laporan datang pada 6 Januari, lima hari setelah Zhirinovskiy memposting laporannya. “Terima kasih atas laporan Anda @zhirnovksiy,” seorang kata karyawan Twitter bernama bugtriage_simon. “Kami sedang menyelidiki ini dan akan terus memberi Anda informasi terbaru. Terima kasih telah memikirkan keamanan Twitter,” tambahnya.
Kemudian pada 13 Januari, Twitter menutup laporan. “Kami menganggap masalah ini telah diperbaiki sekarang. Bisakah Anda mengkonfirmasi? ” kata Twitter. “Saya dapat mengonfirmasi bahwa masalah telah diperbaiki,” jawab Zhirinovskiy pada hari yang sama.
Dilihat dari pertukaran komentar pada laporan bug awal, butuh hampir dua pekan bagi Twitter untuk memperbaiki kerentanan. Pada titik tertentu, aktor dapat menyelinap masuk dan mencuri 5,4 juta kumpulan data. Apakah itu dilakukan sebelum Zhirinovskiy menemukan eksploitasi atau setelah dia mempostingnya masih belum diketahui. Yang diketahui adalah email dan nomor telepon itu sekarang dijual.
Sumber: Republika
