Lebih dari 1.000 karyawan Twitter memiliki akses keamanan yang diperlukan untuk membantu peretas

PERBARUI: Lebih dari 1.000 karyawan dan kontraktor Twitter dikatakan memiliki akses ke alat internal yang sama yang diyakini telah memungkinkan penjahat dunia maya menguasai 36 akun terkenal, menurut dua mantan karyawan Twitter.

Berbicara kepada Reuters , mantan anggota staf yang akrab dengan praktik keamanan Twitter mengatakan bahwa, pada awal 2020, para karyawan ini memiliki kekuatan untuk membuat perubahan pada setelan akun pengguna serta menyerahkan kontrol kepada pihak lain.

Jumlah tersebut tidak hanya mencakup staf Twitter permanen, tetapi juga kontraktor dari penyedia layanan TI Amerika Cognizant, yang menimbulkan pertanyaan mengapa begitu banyak orang diberi hak istimewa keamanan yang luas.

Mantan karyawan juga memberi tahu Reuters bahwa, terlepas dari pelanggaran minggu lalu, kebijakan keamanan perusahaan masih merupakan penyempurnaan dari prosedur yang dijalankan selama mereka bekerja di perusahaan. Twitter telah memutuskan untuk menindak pelanggaran dengan mencatat aktivitas stafnya menyusul insiden pada November 2019, ketika seorang karyawan ditangkap karena diduga memata-matai pemerintah Arab Saudi.

Menurut Ilia Kolochenko, pendiri dan CEO perusahaan keamanan web ImmuniWeb, serangan itu "ditingkatkan oleh eksploitasi kelemahan lain dalam keamanan internal Twitter".

“Tidak dikecualikan bahwa penyerang dibantu oleh orang dalam atau mengeksploitasi kerentanan berisiko tinggi yang terdeteksi di salah satu sistem web Twitter. Jika tidak, kami dapat menyimpulkan bahwa Twitter hampir tidak memiliki kontrol keamanan internal dan praktik terbaik yang biasanya kami harapkan dari perusahaan teknologi sebesar itu,” katanya.

Sementara itu, saat dihubungi investor pada hari Kamis, Kepala Eksekutif Twitter Jack Dorsey mengakui salah langkah:

“Kami tertinggal, baik dalam perlindungan kami terhadap manipulasi psikologis terhadap karyawan kami maupun pembatasan pada alat internal kami,” katanya.

23/07/2020: Penjahat dunia maya yang menargetkan 130 akun sebagai bagian dari peretasan Twitter utama minggu lalu memperoleh akses ke komunikasi pribadi hingga 36 pemegang akun, perusahaan telah mengkonfirmasi.

Di antara individu yang ditargetkan, peretas mengkompromikan 45 akun sejauh mereka dapat mengirim tweet, dan 36 lainnya memiliki pesan langsung yang diakses, menurut perusahaan. Diyakini setidaknya delapan akun memiliki data akun arsip mereka yang diakses melalui alat 'Data Twitter Anda', yang menampung keseluruhan aktivitas akun mereka, meskipun tidak satu pun dari delapan akun ini yang 'diverifikasi' di platform.

Twitter belum menunjukkan apakah ada tumpang tindih antara mereka yang akunnya disusupi, mereka yang DM-nya diakses, dan mereka yang data arsipnya didownload.

Beberapa orang terkenal, termasuk mantan Presiden AS Barack Obama dan calon pemimpin demokrasi Joe Biden termasuk di antara mereka yang terlibat dalam peretasan, dibuktikan dengan sejumlah Tweet yang mempromosikan skema pembelian kembali Bitcoin yang curang, yang menunjukkan bahwa ini termasuk di antara 45 orang tersebut. Akun lain men-tweet sedemikian rupa termasuk Jeff Bezos, Bill Gates, dan tokoh bisnis terkemuka lainnya.

Tweet penipuan menggambarkan skema di mana setiap Bitcoin yang disumbangkan ke dompet tertentu akan dikembalikan ke pengguna dua kali lipat. Hingga saat ini, penipuan tersebut telah menarik 396 transaksi Bitcoin senilai lebih dari £96.000 secara keseluruhan.

Umumnya, jika seorang peretas mendapatkan kendali penuh atas sebuah akun hingga mereka dapat mengirim tweet, mereka juga dapat membaca pesan langsung yang dikirim sebelumnya, atau bahkan mengirim yang baru dengan mudah.

Twitter, bagaimanapun, bersikeras bahwa hanya satu pejabat terpilih, seorang politisi Belanda yang tidak disebutkan namanya, termasuk di antara mereka yang DM-nya diakses. Saat ini tidak ada indikasi, perusahaan menambahkan, bahwa setiap mantan atau pejabat terpilih saat ini telah mengakses DM mereka, mengesampingkan orang-orang seperti Obama atau Biden sebagai di antara 36.

Meskipun penyerang memperoleh kendali penuh atas beberapa akun, Twitter mengatakan bahwa mereka tidak akan dapat melihat kata sandi sebelumnya karena tidak disimpan dalam teks biasa. Ia menambahkan bahwa bahkan dengan akses ke alat internal, peretas tetap tidak dapat melihatnya.

Namun, peretas dapat melihat informasi pribadi, termasuk alamat email dan nomor telepon, yang ditampilkan kepada beberapa karyawan yang memiliki akses ke alat dukungan internal perusahaan.

Dari akun yang diambil alih, peretas dapat melihat apa yang digambarkan Twitter sebagai “informasi tambahan”. Perusahaan menambahkan penyelidikan forensik atas aktivitas ini masih berlangsung.

Pendiri McAfee John McAfee, sementara itu, telah menyarankan akun Twitternya sendiri telah diretas atau dibekukan dalam 12 jam terakhir, dengan beberapa tweet menghilang atau hanya dilihat oleh segelintir orang. Tidak jelas apakah laporan ini terkait dengan peretasan besar minggu lalu.

Saat penyelidikan berlanjut, Twitter mengatakan akan lebih mengamankan sistemnya untuk mencegah serangan di masa depan, dan menggelar pelatihan tambahan di seluruh perusahaan untuk menjaga dari taktik rekayasa sosial.

Kisah ini diperbarui pada 24/07/2020