/cdn.vox-cdn.com/uploads/chorus_asset/file/8792127/acastro_170629_1777_0008.jpg)
Konsultan keamanan dan pencipta Have I Been Pwned, Troy Hunt, telah mengungkapkan kerentanan dalam API Spoutible, sebuah platform sosial yang muncul setelah Elon Musk mengambil alih Twitter, yang dapat memungkinkan peretas mengambil alih sepenuhnya akun pengguna.
Setelah seseorang memberi tahu Hunt tentang kerentanan ini, ia menemukan bahwa peretas dapat memanfaatkan API Spoutible untuk mendapatkan nama pengguna, username, dan biografi pengguna, serta alamat email, alamat IP, dan nomor telepon mereka. Spoutible kemudian menanggapi kerentanan ini dengan menulis dalam sebuah posting di situsnya bahwa mereka tidak membocorkan kata sandi yang terenkripsi atau pesan langsung, namun mengkonfirmasi bahwa “informasi yang diambil termasuk alamat email dan beberapa nomor telepon seluler.” Mereka juga mengundang siapa pun yang masih ingin menggunakan layanan mereka untuk sesi khusus “Pod” pada pukul 1 siang waktu setempat. Baik Spoutible maupun Hunt merekomendasikan pengguna untuk mengganti kata sandi mereka dan mereset 2FA.
Seperti yang disebutkan oleh Hunt, ini bukanlah hal yang jarang terjadi, seperti yang terlihat dalam insiden pengambilan data serupa pada platform seperti Facebook dan Trello.
Namun, Hunt menemukan sesuatu yang lebih mengkhawatirkan: para pelaku jahat juga dapat menggunakan eksploitasi ini untuk mendapatkan versi terenkripsi dari kata sandi pengguna. Meskipun kata sandi tersebut dilindungi dengan bcrypt, kata sandi yang pendek atau lemah dapat dengan mudah ditebak, dan layanan ini memblokir orang-orang dari mengatur kata sandi yang lebih panjang yang sulit ditebak.
Dan yang lebih buruk lagi, Hunt menemukan bahwa API ini mengembalikan kode 2FA yang digunakan untuk masuk ke akun seseorang, serta token reset yang dihasilkan untuk membantu pengguna mengubah kata sandi yang terlupakan. Hal ini dapat memungkinkan peretas dengan mudah mendapatkan akses dan mengambil alih akun seseorang tanpa memberi tahu mereka tentang pelanggaran keamanan ini.
Menurut Hunt, eksploitasi ini mengungkapkan alamat email sekitar 207.000 pengguna. Hampir semua orang di platform tersebut terkena dampak, mengingat laporan Juni 2023 dari Wired menyebutkan bahwa Spoutible memiliki 240.000 pengguna.