Seorang hacker yang mengidentifikasi dirinya sebagai Ryushi mengklaim telah menjual data pribadi 400 juta pengguna Twitter yang diambil pada tahun 2021 dengan mengeksploitasi kerentanan API (Application Programming Interface) yang kini telah diperbaiki.
Peretas juga menyampaikan ancaman terhadap Twitter dan CEO-nya, Elon Musk. Ryushi membocorkan dan menjual data yang diklaimnya melalui situs Breach Forum.
“Twitter atau Elon, jika Anda membaca ini, Anda sudah berisiko terkena denda GDPR karena meretas 5,4 juta data sebagai cerminan dari denda karena membocorkan 400 juta data pengguna,” tulis Ryushi di forum seperti dilansir Bleeping Computer.
“Pilihan terbaik Anda adalah menghindari membayar denda US$276 juta di GDPR seperti yang dilakukan Facebook (karena 533 juta data pengguna diretas) dengan membeli data ini dari saya secara eksklusif,” tulisnya lagi.
Mengutip situs AWS Amazon, GDPR adalah singkatan dari General Data Protection Regulation atau Regulasi Perlindungan Data Umum di Uni Eropa. Dalam situs resminya, GDPR diklaim sebagai regulasi terberat terkait keamanan dan data pribadi di dunia.
Meskipun dirancang dan diratifikasi di Uni Eropa, GDPR mewajibkan semua organisasi di mana pun di dunia untuk mematuhinya selama mereka mengumpulkan data tentang warga negara UE.
“Regulasi ini berlaku mulai 25 Mei 2018. GDPR akan mengenakan denda yang sangat berat bagi mereka yang melanggar standar privasi dan keamanan, dengan denda mencapai puluhan juta euro,” tulisnya.
Peretas Ryushi mendaftarkan sampel data milik 37 selebritas, politisi, jurnalis, perusahaan, dan lembaga pemerintah. Beberapa di antaranya adalah Alexandria Ocasio-Ortez, Donald Trump Jr., Mark Cuba, Kevin O’Leary, dan Piers Morgan. Selain itu, data profil 1000 pengguna Twitter juga disertakan setelahnya.
Data yang diklaim bocor meliputi alamat email, nama, username (ID), jumlah pengikut, tanggal pembuatan, dan nomor telepon. Namun, sebagian besar pengguna yang datanya bocor tidak memiliki nomor telepon.
Meskipun sebagian besar data ini dapat diakses publik oleh semua pengguna Twitter, nomor telepon dan alamat email merupakan informasi pribadi.
Mengutip Tech Radar, Ryushi akan menjual data ini ke banyak pengguna senilai US$60 ribu per unit. Ini dilakukan jika penjualan ke Twitter senilai US$200 ribu gagal dilakukan.
Kepada Bleeping Computer, Ryushi mengaku sudah menghubungi Twitter. Namun media sosial berlogo burung biru itu tidak merespon.
Tak hanya itu, Ryushi juga mengaku telah memperoleh data berupa nomor telepon dan email menggunakan kerentanan API yang telah diselesaikan Twitter pada Januari 2022. Kerentanan tersebut sebelumnya dikaitkan dengan peretasan 5,4 juta data pengguna.
Kerentanan memungkinkan seseorang untuk memberikan daftar nomor telepon dan alamat email ke API Twitter dan menerima ID pengguna Twitter terkait.
Peretas kemudian menggunakan ID tersebut dengan alamat IP lain untuk mengambil data profil publik pengguna sehingga mereka dapat membuat profil Twitter yang terdiri dari data publik dan pribadi.
“Saya mendapat akses dengan eksploit yang sama yang digunakan untuk kebocoran 5,4 juta data sebelumnya. Saya berbicara dengan penjual data dan dia mengonfirmasi bahwa itu ada di aliran masuk Twitter,” katanya.
“Jadi dalam pengecekan duplikasi, akses membocorkan user ID yang kemudian saya ubah menggunakan API lain menjadi informasi username dan informasi lainnya,” kata Ryushi.
SUMBER : CNN INDONESIA
