TEMPO.CO, Jakarta - Platform media sosial Twitter mengakui ada kemungkinan pencurian data nomor ponsel akun penggunanya oleh peretas yang didukung pemerintahan negara tertentu. Kemungkinan itu terungkap setelah seorang peneliti keamanan siber menemukan kelemahan dalam fitur Contacts Upload di situs mikroblogging pada Desember lalu.
Dalam sebuah pernyataannya, Twitter mengatakan telah mengidentifikasi volume permintaan Contacts Upload yang tinggi menggunakan fitur dari alamat internet di Malaysia, Iran, dan Israel. Fitur Contact Upload belakangan diketahui dapat dimanfaatkan untuk mencocokkan nomor telepon milik akun pengguna media sosial itu.
Twitter hanya mengatakan bahwa beberapa alamat IP yang terlibat dalam serangan mungkin memiliki ikatan dengan aktor yang disponsori negara. "Twitter tidak dapat mengidentifikasi semua akun yang terkena dampak," kata juru bicara Twitter, seperti dikutip dari laman Daily Mail.
Twitter mencurigai adanya kemungkinan koneksi alamat ke peretas yang didukung negara. Dasar kecurigaan itu adalah karena para penyerang memiliki akses tidak terbatas ke Twitter meskipun jaringan media sosial tersebut dilarang di negara bersangkutan.
Ilia Kolochenko, CEO ImmuniWeb, menilai klaim Twitter tentang keterlibatan IP aktor yang disponsori negara agak tidak bisa dipahami tanpa rincian lebih lanjut. "Hari ini, saya pikir aktor negara memiliki akses ke kerentanan yang jauh lebih berbahaya yang mempengaruhi Twitter dan pemasoknya," ujar Kolochenko.
Sebelumnya, TechCrunch melaporkan pada Desember lalu bahwa peneliti keamanan siber, Ibrahim Balic, berhasil mencocokkan 17 juta nomor telepon dengan akun pengguna Twitter tertentu. Balic bisa mengeksploitasi kelemahan pada fitur kontak pada aplikasi Android-nya.
Seorang jurnalis di situs tersebut membuktikan dapat mengidentifikasi seorang politisi senior Israel dengan mencocokkan nomor telepon lewat cara yang sama. Fitur ini, yang memungkinkan seseorang dengan nomor telepon pengguna menemukan dan terhubung dengan pengguna lain di Twitter, telah dinonaktifkan secara default untuk pengguna di Uni Eropa di mana aturan privasi yang ketat berlaku.
Namun, ini diaktifkan secara default untuk semua pengguna lain secara global, kata juru bicara itu. Twitter mengaku telah mengubah fitur itu sehingga tidak lagi mengungkapkan nama akun tertentu sebagai tanggapan atas permintaan. Itu juga telah menangguhkan semua akun yang diyakini telah menyalahgunakannya.
Twitter tidak mengirim pemberitahuan individual kepada penggunanya soal ini dengan dinilai para pakar keamanan informasi sebagai praktik terbaik. Karena itu, Jake Moore, spesialis cybersecurity di ESET menyarankan cara terbaik bagi pengguna untuk melindungi diri mereka secara online adalah dengan menggunakan otentikasi dua faktor.
"Twitter baru-baru ini mengaktifkan otentikasi dua faktor di mana nomor ponsel tidak diperlukan. Ini membantu memberikan privasi tanpa mengorbankan keamanan," katanya.
