Para peneliti keamnan siber asal Singapura telah menemukan daftar 3.207 aplikasi ilegal, beberapa di antaranya dapat digunakan untuk mendapatkan akses API ke akun Twitter siapapun yang diinginkan.
Pengambilalihan tersebut dimungkinkan, karena kebocoran informasi Consumer Key dan Consumer Secret dari pihak yang sah. Perusahaan keamanan siber CloudSEK yang berbasis di Singapura mengatakan hal tersebut dalam sebuah laporan yang dibagikan di lamannya, dikutip dari The Hacker News.
"Dari 3.207 aplikasi dapat membocorkan keempat kredensial otentikasi dan dapat digunakan untuk mengambil alih sepenuhnya akun Twitter hingga dapat melakukan tindakan apa pun dari akun yang dibajak," kata para peneliti.
Oknum yang melakukan pembajakan akun dapat membaca pesan langsung hingga melakukan tindakan sewenang-wenang seperti me-retweet, menyukai dan menghapus tweet, mengikuti akun apa pun, menghapus pengikut, mengakses pengaturan akun, dan bahkan mengubah gambar profil akun.
Akses ke API Twitter memerlukan pembuatan Kunci dan Token Akses, yang bertindak sebagai nama pengguna dan kata sandi untuk aplikasi serta pengguna yang atas namanya digunakan untuk permintaan API.
Tujuan hacker meretas akun tersebut, digunakan untuk pasukan bot Twitter yang berpotensi dimanfaatkan sebagai penyebarluasan disinformasi di platform media sosial.
"Ketika beberapa pengambilalihan akun berhasil maka dapat digunakan untuk secara masiv menybarkan informasi secara bersama dan terstruktur, hal itu hanya membutuhkan pengulangan pesan dan terus mengalir," catat para peneliti.
Selain itu, dalam skenario hipotetis yang dijelaskan oleh CloudSEK, kunci API dan token yang diambil dari aplikasi seluler dapat disematkan dalam program untuk menjalankan kampanye malware skala besar melalui akun terverifikasi untuk menargetkan pengikut mereka.
Peretasan aplikasi terus berkembang, perlu dicatat bahwa kebocoran kunci tidak terbatas pada API Twitter saja. Di masa lalu, peneliti CloudSEK telah menemukan kunci rahasia untuk akun GitHub, AWS, HubSpot, dan Razorpay dari aplikasi seluler yang tidak terlindungi.
Untuk mengurangi serangan seperti itu, disarankan untuk meninjau kode untuk kunci API yang dikodekan secara langsung, selain itu pemilik merubah sandi secara berkala untuk membantu mengurangi kemungkinan risiko yang timbul dari kebocoran.