Peretas Klaim Jual Data 400 Juta Pengguna Twitter dan Ancam Elon Musk

Seorang peretas yang mengaku bernama Ryushi mengklaim telah menjual data pribadi 400 juta pengguna Twitter yang diambil pada 2021 dengan memanfaatkan kerentanan API (Application Programming Interface) yang kini telah diperbaiki. 

Peretas itu juga menyampaikan ancaman terhadap Twitter dan CEO-nya, Elon Musk. Ryushi membocorkan dan menjual data-data yang dia klaim lewat situs Breach Forum.

"Twitter atau Elon, jika Anda membaca ini, Anda telah berisiko terkena denda GDPR  karena peretasan 5,4 juta data sebagai cerminan dari denda akibat bocornya 400 juta data pengguna," tulis Ryushi di forum tersebut seperti dilansir Bleeping Computer.

Lihat Juga : Mengenal TMC, Teknologi yang Digunakan untuk Cegah Badai Jabodetabek

"Pilihan terbaik Anda adalah menghindari membayar US$276 juta (sekitar Rp4,3 triliun) denda di GDPR seperti yang Facebook lakukan (karena 533 juta data pengguna yang diretas) dengan cara membeli data ini dari saya secara eksklusif," tulisnya lagi. 

Mengutip situs AWS Amazon, GDPR merupakan singkatan dari General Data Protection Regulation atau Peraturan Perlindungan Data Umum yang ada di Uni Eropa. Di situs resminya, GDPR diklaim sebagai peraturan soal data pribadi dan keamanan tertangguh di dunia. 

Meskipun disusun dan disahkan di Uni Eropa,  GDPR mewajibkan semua organisasi mana pun di dunia mematuhinya selama mereka mengumpulkan data-data warga Uni Eropa.

"Peraturan ini efektif per 25 Mei 2018. GDPR akan menjatuhkan denda yang sangat berat kepada mereka yang melanggar standar privasi dan keamanan, dengan penalti mencapai hingga puluhan juta euro," tulisnya.

Peretas Ryushi mencantumkan sampel data milik 37 selebritas, politisi, jurnalis, korporasi, dan agen pemerintah. Beberapa di antaranya antara lain Alexandria Ocasio-Ortez, Donald Trum Jr, Mark Cuba, Kevin O'Leary, dan Piers Morgan. Sebagai tambahan data profil 1000 pengguna Twitter juga disertakan setelahnya. 

Data-data yang diklaim bocor antara lain alamat email, nama, nama pengguna (ID), jumlah pengikut, tanggal pembuatan, dan nomor telpon. Akan tetapi, sebagian besar dari pengguna yang datanya bocor tidak memiliki nomor telpon. 

Meskipun hampir semua data ini dapat diakses publik oleh semua pengguna Twitter, nomor telepon dan alamat email merupakan informasi pribadi.

Mengutip Tech Radar, Ryushi bakal menjual data ini ke banyak pengguna senilai US$60 ribu per satuannya. Hal itu dilakukan jika penjualan ke Twitter senilai US$200 ribu gagal dilakukan.

Kepada Bleeping Computer, Ryushi mengaku telah menghubungi Twitter. Namun media sosial berlambang burung biru itu tidak memberi balasan. 

Tak hanya itu, Ryushi juga mengklaim memeroleh data berupa nomor telpon dan email menggunakan kerentanan API yang telah diselesaikan Twitter pada Januari 2022. Kerentanan itu sebelumnya dikaitkan dengan peretasan 5,4 juta data pengguna.

Kerentanan tersebut memungkinkan seseorang untuk memasok daftar nomor telpon dan alamat email ke API milik Twitter dan menerima ID pengguna Twitter terkait.

Peretas lalu menggunakan ID tersebut dengan alamat IP lain untuk mengambil data profil publik untuk pengguna sehingga dapat menyusun sebuah profil Twitter yang terdiri dari data publik dan privat.

"Saya mendapatkan akses dengan eksploitasi yang sama, yang digunakan untuk kebocoran 5,4 juta data sebelumnya. Saya berbicara dengan penjual data itu dan dia mengonfirmasi, aksesnya ada di aliran log in Twitter," katanya. 

"Jadi, dalam pengecekan duplikasi, akses itu membocorkan ID pengguna yang kemudian saya konversi menggunakan API lain ke dalam informasi nama pengguna dan informasi lainnya," ujar Ryushi.

[Gambas:Video CNN]