Twitter Menyarankan 336 Juta Penggunanya Agar Merubah Password Mereka
Jumat, 3 Mei 2018 - Twitter memperingatkan 336 juta penggunanya di penjuru Bumi untuk mengganti password mereka setelah terkuaknya suatu bug dimana passwords para pengguna Twitter tersimpan secara internal sebelum diperkuatnya teknik keamanan perusahaan mikroblogging tersebut.
Chief Technology Officer Twitter, Parag Agrawal, menulis dalam sebuah posting blog bahwa para pengguna Twitter juga disarankan mengganti password-password mereka pada service lain jika password tersebut sama dengan password Twitter mereka. Perusahaan juga akan membeberkan kelemahan keamanan password ini ke dalam pengajuan peraturan pada hari Jumat ini, mengindikasikan bahwa bug tersebut cukup serius untuk mendapatkan mendapatkan perhatian lebih dari sekedar postingan di blog. Sebab pengguna Twitter mencapai 336 juta orang, dilansir dari surat kepada para pemegang saham Twitter.
CEO Twitter, Jack Dorsey memposting sebuah tweet yang menyatakan bahwa perusahaannya tidak memiliki indikasi akan kebocoran atau penyalahgunaan data. Ia juga menambahkan bahwa perusahaannya memperingatkan para penggunanya karena keterbukaan sangat penting dalam kasus kekeliruan internal ini.
Bug software tersebut disebut bertanggung jawab membuat masalah terlihat seperti berkaitan dengan bagaimana perusahaan mengamankan password para penggunanya melalui sebuah teknik keamanan yang disebut hashing, jelas Agrawal. Melalui teknik hashing, Twitter mengonversi password menjadi beraneka ragam angka agar saat para pengguna hendak log in, Twitter bisa memverifikasi password mereka tanpa harus mengetahui atau membaca password-password tersebut.
Akan tetapi karena bug di dalam software, password para pengguna tercatat pada internal log yang tidak jelas sebelum dikonversi menjadi serial angka. Sebagai hasilnya, password-password tersebut menjadi rawan, meski Twitter menyatakan bahwa belum ada pihak yang secara tidak etis mengakses log tersebut.
We recently discovered a bug where account passwords were being written to an internal log before completing a masking/hashing process. We’ve fixed, see no indication of breach or misuse, and believe it’s important for us to be open about this internal defect. https://t.co/BJezo7Gk00 — jack (@jack) May 3, 2018
Agrawal menyatakan bahwa Twitter telah menemukan masalah tersebut tanpa bantuan peneliti keamanan dari pihak luar, lalu menghapus password-password di dalam internal log tersebut, dan sedang mengimplementasikan beberapa rencana untuk mencegah kejadian yang sama.
Masih belum jelas kapan Twitter menemukan masalah tersebut dan telah berapa lama password-password para pengguna Twitter dibiarkan dengan keamanan tipis.
Agrawal sendiri menyatakan melalui sebuah tweet bahwa awalnya perusahaannya merasa tidak perlu mempublikasikan informasi mengenai masalah tersebut, namun pada akhirnya memilih melakukannya karena merasa itu adalah tindakan yang tepat. Namun kemudian ia meralat sebagian dari ucapannya dan berkata "Kami telah merasa sangat harus (mempublikasikan masalah tersebut)." "Saya salah ucap," tambah Agrawal.
