Seorang pengguna di alternatif Twitter/X Dapat dimuntahkan mengklaim perusahaan tersebut menghapus postingan mereka setelah mereka mendorong CEO Spoutible Christopher Bouzy untuk lebih jujur tentang sifat masalah keamanan baru-baru ini. Klaim tersebut, yang dibantah oleh perusahaan, adalah kejadian aneh terbaru dalam kisah insiden keamanan yang terjadi selama seminggu terakhir di startup tersebut.
Pekan lalu, Bouzy mengakui a kerentanan keamanan yang katanya telah membeberkan email dan nomor telepon pengguna di startupnya, yang diposisikan sebagai a Twitter yang lebih inklusif dan ramah. Namun, peneliti keamanan Troy Hunt, pencipta Apakah saya telah ditipu situs web, yang memungkinkan orang untuk memeriksa apakah data mereka disusupi dalam pelanggaran data, menemukan bahwa API pengembang Spoutible juga mengungkap informasi yang dapat digunakan pelaku kejahatan untuk mengambil alih akun pengguna tanpa mereka sadari.
Berburu merinci temuannya tentang tuduhan yang jauh lebih serius di situs webnyamencatat bahwa Spoutible API mengembalikan data termasuk hash bcrypt dari kata sandi pengguna lain, ditambah rahasia 2FA (dua faktor) dan token yang dapat digunakan kembali untuk menyetel ulang kata sandi pengguna.
Singkatnya, kerentanan ini sangat mudah dieksploitasi dan memungkinkan pihak jahat mengambil alih akun pengguna tanpa sepengetahuan mereka, seperti The Verge melaporkan pada saat itu. Hunt telah diberitahu tentang masalah ini oleh pihak ketiga yang mengklaim bahwa mereka telah mengambil data dari layanan Spoutible. Seperti akun Have I Been Pwned dikonfirmasi pada XSpoutible memiliki 207.000 catatan pengguna yang diambil dari API yang salah dikonfigurasi termasuk “nama, email, nama pengguna, telepon, jenis kelamin, hash kata sandi bcrypt, rahasia 2FA, dan token penyetelan ulang kata sandi.”
Sejak bulan Juni lalu, Spoutible memiliki 240.000 pengguna terdaftar sehingga pelanggaran tersebut berdampak pada sebagian besar basis pengguna jaringan sosial yang lebih kecil.
Peneliti keamanan menjelaskan bahwa kerentanan bisa saja dieksploitasi oleh pelaku kejahatan, yang bisa mendapatkan versi hash dari kata sandi pengguna. Meskipun kata sandi dilindungi melalui bcrypt, kata sandi yang lebih pendek mungkin lebih mudah ditebak dan dipecahkan. Selain itu, tidak ada pemberitahuan email yang dikirimkan kepada pemegang akun tentang perubahan kata sandi, sehingga mereka tidak akan pernah tahu jika akun mereka tidak lagi berada di bawah kendali mereka, kata Hunt.
Hal semacam ini akan menjadi masalah bagi startup mana pun, terutama startup yang basis penggunanya penuh dengan pengguna awal yang mungkin baru saja mencoba Spoutible selama beberapa waktu sebelum beralih ke alternatif Twitter lain, sehingga akun semi-terbengkalai siap untuk digunakan. pengambilan.
CEO Spoutible Christopher Bouzy mengonfirmasi pelanggaran dan kerentanan data dan perusahaan mengharuskan pengguna untuk membuatnya kata sandi baru yang lebih kuat, setelah mengatasi masalah ini. Namun, dia juga menyebut penemuan kerentanan tersebut sebagai “serangan” terhadap jaringannya dan menuduh bahwa orang yang mengambil data tersebut adalah seseorang yang bermaksud merusak reputasi Spoutible.
“Kami…yakin orang yang terlibat adalah pemimpin yang telah menyerang Spoutible selama setahun,” kata Bouzy dalam sebuah postinganmengacu pada pemberi notifikasi yang mengirimkan catatan tergores kepada Hunt.
Dalam email dengan TechCrunch, Bouzy memaparkan idenya lebih lanjut, menuduh bahwa grup online yang dikenal sebagai “Diragukan,” yang muncul awal tahun lalu, berada di balik serangan tersebut. Doubtible menjalankan akun Twitter/X di mana mereka “men-tweet kebohongan tentang Spoutible, saya, dan anggota terkemuka komunitas kami setiap hari,” kata Bouzy. “Kami sangat yakin bahwa kelompok ini berada di balik pengikisan data kami secara tidak sah” – sebuah tuduhan Bouzy mengulangi sebagai tanggapan untuk meninjau Trustpilot, di mana dia juga menyarankan agar dia memberi tahu FBI tentang masalah ini.
“Seseorang tidak perlu mengorek lebih dari 207 ribu catatan untuk mengungkap kerentanannya, lanjut Bouzy. “Namun, dengan menyertakan data, hal ini menjadikannya lebih layak diberitakan. Jika seseorang ingin mengungkap kerentanan yang dapat menodai reputasi perusahaan, Mr. Hunt memang akan menjadi kontak ideal mereka. Alasan di balik pilihan mereka jelas: tweet Mr. Hunt, postingan blog, dan video tindak lanjutnya sangat selaras dengan niat mereka. Cara Mr Hunt membuat sensasional dan menggambarkan kejadian tersebut persis seperti yang mereka harapkan,” tambahnya, penuh konspirasi.
Bouzy mengklaim bahwa kerentanan keamanan muncul karena seseorang di timnya menggunakan fungsi yang ditujukan untuk API pengaturan pengguna dengan fungsi yang dirancang untuk API publik, itulah sebabnya email terenkripsi dan nomor telepon diekspos dalam teks biasa. Dia mengatakan Spoutible kini telah bermitra dengan perusahaan keamanan untuk meninjau lebih lanjut sistemnya, sehubungan dengan insiden ini.
Namun, beberapa orang menuduh Bouzy berusaha meremehkan tingkat keparahan kerentanan, termasuk data journalist Dan Nguyenyang baru-baru ini berbagi ulang tentang wirausaha teknologi Postingan Anil Dash di Bluesky memperingatkan pengguna untuk “jangan bicara sembarangan.” Pengguna Bluesky lainnya dengan penuh warna merujuk hingga pembuangan data pengguna oleh Spoutible yang mirip dengan “Pembalasan Montezuma”.
Meskipun pelanggaran data sudah menjadi PR buruk bagi sebuah startup, kini muncul pertanyaan apakah perusahaan tersebut membungkam kritiknya atau tidak.
Salah satu pengguna Spoutible, Mike Natale, melakukannya secara publik menuduh CEO menghapus postingannya di situs jejaring sosial, di mana dia mendorong Bouzy untuk lebih transparan.
“Bouzy…menghapus semua postingan saya dan menghapus dinding saya,” tulis Natale, menanggapi pengguna Bluesky lainnya.
Kredit Gambar: Mike Natale di Bluesky (terbuka di jendela baru)
Dalam balasan lain, Natale menjelaskan bahwa Bouzy awalnya mem-posting ulang postingannya di Spoutible untuk mengomentari masalah tersebut, tetapi kemudian menghapus semua postingan Natale ketika dia menolak “narasi bahwa ini adalah serangan” dan “bahwa perusahaan lain juga memiliki kelemahan yang sama.”
Postingan yang hilang tidak menyertakan tag biasa yang menunjukkan penghapusannya. Di Spoutible, postingan yang dihapus memiliki catatan sistem terlampir yang bertuliskan “@pengguna menghapus balasan ini.” Misalnya, jika Bouzy menghapus balasannya, maka akan terbaca “@bouzy menghapus balasan ini.”
Namun dalam kasus ini, Natale mengatakan dalam komentar di Bluesky bahwa postingan hilang begitu saja dan feed utama Spoutible-nya bahkan tidak dapat dimuat.
Akun Twitter/X Doubtible juga memposting tentang klaim Natale. Natale belum membalas permintaan komentar.
Sementara itu, CEO Spoutible Christopher Bouzy membantah menghapus postingan Natale.
“Terkait masalah pengguna Natale, kami tidak menghapus postingan atau akun mereka. Ada kemungkinan bagi pengguna untuk menghapus konten mereka sendiri dan kemudian menuduh kami secara salah,” katanya, sekali lagi mengisyaratkan adanya konspirasi. “Tudingan tersebut tidak berdasar dan tidak perlu dibahas lebih lanjut,” tutupnya.
Insiden di Spoutible mengingatkan kita pada perusahaan kecil lainnya, Hive, yang juga mengalami masalah keamanan besar setelah dibanjiri pengguna Twitter tak lama setelah akuisisi Elon Musk. Dalam hal ini, startup akan menutup aplikasinya sepenuhnya untuk memperbaiki kelemahan kritis sebelum kembali ke app store. Hive berhasil mengatasi badai dan akhirnya kembali, namun tidak lagi dianggap sebagai ancaman bagi Twitter setelah kehilangan peluang.
Apakah reputasi Spoutible akan pulih dari noda ini masih harus dilihat.
