Lebih dari 1.000 karyawan Twitter punya akses kendali penuh atas akun-akun Twitter. Artinya, ada seribu target potensial bagi para peretas untuk mendapatkan akses menguasai akun-akun Twitter.
Oleh
SATRIO PANGARSO WISANGGENI
·2 menit baca
JAKARTA, KOMPAS — Lebih dari seribu karyawan Twitter disebut memiliki akses untuk menggunakan alat administrator internal Twitter yang memiliki kendali penuh terhadap akun pengguna media sosial tersebut. Ini artinya ada seribu target yang memiliki potensi disasar oleh para peretas guna mendapatkan akses terhadap alat internal Twitter tersebut.
Informasi ini didapatkan dari kesaksian dua bekas karyawan Twitter kepada Reuters pada akhir pekan lalu. Alat internal inilah yang berhasil digunakan oleh para peretas pada pekan lalu untuk meluncurkan aksi penipuan melalui setidaknya 15 akun terverifikasi milik para tokoh dunia dan pesohor.
Para peretas diduga berhasil mengakses alat internal tersebut dan kemudian, dengan kuasa administrator yang dimilikinya, mengubah alamat surat elektronik serta mencuitkan kicauan berisi penipuan dari akun-akun high profile yang sudah dikuasai itu.
Seperti yang diketahui, sejumlah akun milik figur publik berhasil diambil alih para peretas pada 15 Juli lalu, seperti akun Presiden ke-44 AS Barack Obama, CEO Tesla Elon Musk, pendiri Amazon Jeff Bezos, filantropis Warren Buffett, dan musisi Kanye West.
Sejumlah perusahaan teknologi, seperti Apple, Uber, dan Binance, pun menjadi korban peretasan ini. Pembajakan akun Twitter ini telah memperkaya pelakunya dengan uang kripto senilai lebih dari Rp 1,7 miliar (118.000 dollar AS).
Melalui kesaksian dua bekas karyawan Twitter itu juga terkuak bahwa sejumlah karyawan di perusahaan kontraktor pihak ketiga ternyata memiliki akses terhadap alat internal tersebut.
Menanggapi hal ini, peneliti dari firma keamanan siber Secura, Matthijs Koot, menyatakan bahwa semakin besar jumlah orang yang memiliki otoritas, semakin besar pula risiko keamanannya.
”Seribu authorized users sama dengan seribu target potensial untuk social engineering,” kata Matthijs R Koot yang juga pengajar di University of Amsterdam, melalui akun Twitter-nya.
Pandangan yang sama juga disampaikan mantan chief security officer perusahaan telekomunikasi terbesar AS, AT&T, Edward Amoroso.
Amoroso mengatakan, seharusnya setiap karyawan memiliki akses administrator yang terbatas dan setiap modifikasi membutuhkan izin lebih dari satu pihak. ”Sepertinya memang terlalu banyak orang yang memiliki akses,” kata Amoroso.
Hingga saat ini, Twitter masih terus melakukan investigasi terhadap insiden peretasan tersebut. Twitter menyatakan bahwa para peretas menarget 130 akun. Dari jumlah tersebut, para peretas mengirimkan cuitan penipuan melalui 45 akun.
Keterangan terbaru Twitter menyatakan ternyata bahwa para peretas dapat mengakses kotak surat direct messages atau DM Twitter dari 36 akun.
”Kotak DM yang diakses salah satunya adalah milik seorang pejabat politik di Belanda. Namun, hingga saat ini, kami tidak menemukan tanda-tanda bahwa peretas mengakses kotak DM milik pejabat politik lainnya,” kata Twitter.