Bug Twitter Mungkinkan Melakukan Tweet dari Sembarang Akun

Sebuah posting blog baru-baru ini oleh peneliti keamanan mengatakan bahwa bug di produk Twitter bisa memungkinkan penyerang mengirim tweet dari akun manapun dan menghapus foto dan video dari tweets yang dipublikasikan. Bug tersebut merupakan kerentanan kedua dalam produk Twitter yang disebut Studio yang menimbulkan pertanyaan tentang seberapa baik Twitter mengamankan platformnya.

Twitter meluncurkan Studio Agustus lalu sebagai alat bagi penerbit media untuk memperlancar proses penerbitan konten video. Namun, para peserta program hadiah bug Twitter dengan cepat menyadari bahwa mereka dapat memanfaatkan kekurangan kode Twitter untuk menerbitkan tweet di akun orang lain tanpa mencuri kata sandinya.

Peneliti Anand Prakash menjelaskan dalam sebuah posting yang diterbitkan minggu lalu bahwa ia mulai mencari celah keamanan setelah peluncuran Studio. Dia menemukan masalahnya dalam satu hari setelah peluncuran Studio dan mengujinya pada akun temannya.

Seorang juru bicara Twitter mengatakan bahwaTwitter memperbaiki bug tersebut dalam waktu 24 jam setelah laporan Prakash. Juru bicara tersebut menambahkan bahwa Twitter tidak memiliki bukti bahwa akun pengguna lainnya dikompromikan, kecuali akun teman Prakash yang diaksesnya dengan izin untuk menunjukkan bug tersebut.

Prakash menjelaskan bahwa bug tersebut bisa saja digunakan oleh penyerang untuk melakukan tweet dari akun lain, mengupload video atas nama pengguna, menghapus foto/video dari tweet korban, melihat media pribadi yang diunggah oleh akun Twitter lainnya, dan lain sebagainya. Oleh karena cek otorisasi tidak dilakukan, Prakash dapat mengganti ID pengguna akun targetnya menjadi kode Studio yang memungkinkannya untuk melakukan tweet dari akun target tanpa akses ke kata sandinya.

Untungnya, kemungkinan tidak ada yang mengeksploitasi bug tersebut sebelum Prakash menemukannya. Pada saat peluncurannya, Studio hanya tersedia bagi penerbit yang telah masuk daftar putih Twitter. Twitter menambal bug tersebut dalam waktu 24 jam setelah laporan Prakash dan membayarnya senilai 5.040 dollar AS untuk penelitiannya.

Namun Prakash bukan satu-satunya peneliti yang menemukan kekurangan serius di Studio. Seorang peneliti yang mengaku namanya Kedrisch mengatakan bahwa ia menemukan bug serupa yang masih ada dalam kode Studio bulan Februari yang lalu. Kerentanan yang dimiliki Kedrisch tampaknya telah memungkinkan penyerang mempublikasikan tweet dari akun pengguna lain, asalkan file media terpasang. Twitter memperbaiki kerentanan ini dalam tiga hari, dan membayarnya  senilai 7.560 dollar AS untuk penemuannya.

Tentu saja, kemampuan untuk melakukan tweet dari akun orang lain tanpa memerlukan kata sandinya bisa sangat berguna bagi penyerang terutama bila mereka menargetkan pengguna Twitter yang populer dan memiliki follower jutaan seperti presiden AS Donald Trump yang menggunakan Twitter sebagai platform utamanya untuk berkomunikasi dengan publik.

Sumber: Gizmodo