Twitter Exploitation

Kronologis Twitter Dihacked

Kemarin sore, penghuni Twitter dihebohkan dengan munculnya rumor bahwa Twitter dihacked. Pada beberapa akun twitter yang saya follow pun sempat muncul tweet yang hanya berisi sebuah tautan. Himbauan agar tidak mengunjungi web Twitter dalam bentuk tweet pun bermunculan. Pada himbauan tersebut juga disarankan untuk menggunakan 3rd party application jika ingin menggunakan Twitter. Beberapa jam kemudian, Twitter mengumumkan bahwa masalah telah dapat diatasi. Apa gerangan yang sebenarnya terjadi?

Lubang keamanan yang mengakibatkan kehebohan di Twitter tersebut dikenal dengan nama Cross Side Scripting (XSS). Pertama kali dilaporkan oleh seorang developer Jepang bernama Masato Kinugawa pada 14 Agustus 2010 dan ketika Twitter meluncurkan Twitter baru pada 14 September 2010 lalu, ia melihat bahwa lubang tersebut belum juga ditambal.

Masato Kinugawa yang kemudian pada hari ini, siang waktu setempat, membuat akun Twitter bernama Rainbow Twtr yang dia buat untuk menunjukan bagaimana lubang XSS dapat digunakan untuk mengubah warna tweet menjadi warna lain. Pada saat itu di pantai barat Amerika Serikat, tempat di mana markas Twitter berada, sedang berada di tengah malam, jadi tidak seorangpun yang mengawasi lubang keamanan ini.

Ide dari Masato Kinugawa ini kemudian menginspirasi Magnus Holm, seorang developer Skandinavia untuk mulai bermain dengan lubang keamanan XSS tersebut. Ia lalu mengembangkan kode tersebut yang memungkinkan pengguna web Twitter.com untuk meretweet kode tersebut hanya dengan mengarahkan mouse ke atas tautan. Pada awalnya ia tidak menduga bahwa apa yang ia buat ini akan menjadi sedemikan besar karena pikirnya pengguna dapat “>dengan mudah menghapus tweet tersebut. Beberapa menit kemudian ia pun menyaksikan karya-nya menyebar dengan sangat ganas.

Twitter Hacked

Ide dari Magnus Holm ini kemudian menginspirasi eksploitasi lubang XSS ini dengan lebih ganas lagi : Tidak perlu mengarahkan mouse ke tautan, cukup login ke web Twitter, jika ada tautan tersebut dari akun Twitter yang kita follow maka tautan tersebut akan membuat akun Twitter kita secara otomatis melakukan retweet ke follower kita.

Seluruh eksploitasi lubang XSS ini hanya bepengaruh di web Twitter.com dan tidak terjadi baik pada 3rd party application, mobile-web Twitter maupun aplikasi-mobile Twitter. Twitter tidak melihat adanya potensi insiden tersebut akan membahayakan komputer maupun informasi akun pengguna pengguna oleh karena itu tidak perlu mengganti password.

Setelah mentari pagi bersinar di markas Twitter, sekitar pukul 06.25 waktu setempat, Twitter mengeluarkan pengumuman mereka telah mengidentifikasi adanya eksploitasi dan sedang berusaha menambalnya. 25 menit kemudian muncul pengumuman insiden tersebut telah teratasi. Setelah lubang keamanan ini ditambal, pengguna masih tetap dapat melihat tweet maupun retweet tautan tersebut namun keberadaan tweet itu tidak akan berpengaruh lagi.

Tidak berhenti hingga penambalan lubang, Twitter pun menambahkan 2 fitur baru pagi waktu setempat :

1) Reply to all : Jika terdapat lebih dari 1 akun pada suatu tweet, dengan menekan tombol ini, kita dapat mereply tweet tersebut dengan otomatis mention seluruh akun tweet yang ada.
2) Auto-complete : Saat kita akan memention akun Twitter seseorang, kita dapat mulai dengan mengetikan @ kemudian huruf pertama dari akun Twitter orang tersebut dan kemudian Twitter akan mengeluarkan sebuah drop-down menu yang berisikan pilihan nama akun yang relevan yang mungkin akan kita mention.

Kedua fitur ini baru dapat dinikmati jika Anda telah mendapatkan Twitter baru.

Gambar via Mashable