Twitter mengungkapkan bahwa mereka tidak mengeluarkan pengguna dari akun setelah pengaturan ulang kata sandi

Beberapa minggu setelah mantan kepala keamanan Twitter menuduh perusahaan itu salah urus keamanan siber, Twitter kini telah memberi tahu penggunanya tentang bug yang tidak menutup semua sesi masuk aktif pengguna di Android dan iOS setelah kata sandi akun diatur ulang. Masalah ini dapat berimplikasi pada mereka yang telah mengatur ulang kata sandi mereka karena mereka yakin akun Twitter mereka dapat berisiko, mungkin karena perangkat yang hilang atau dicuri, misalnya.

Dengan asumsi siapa pun yang memiliki perangkat dapat mengakses aplikasinya, mereka akan memiliki akses penuh ke akun Twitter pengguna yang terkena dampak.

Dalam sebuah posting blog, Twitter menjelaskan bahwa mereka telah mengetahui bug yang memungkinkan "beberapa" akun untuk tetap masuk di beberapa perangkat setelah pengguna mengatur ulang kata sandi mereka secara sukarela.

Biasanya, ketika reset kata sandi terjadi, token sesi yang membuat pengguna tetap masuk ke aplikasi juga dicabut — tetapi itu tidak terjadi di perangkat seluler, kata Twitter. Sesi web, bagaimanapun, tidak terpengaruh dan ditutup dengan tepat, catatnya.

Twitter menjelaskan bug itu muncul setelah perubahan yang dilakukannya tahun lalu pada sistem yang mendukung pengaturan ulang kata sandinya, yang berarti bug tersebut telah ada selama beberapa bulan tanpa terdeteksi. Untuk mengatasi masalah ini, Twitter kini telah secara langsung memberi tahu pengguna yang terkena dampak, secara proaktif mengeluarkan mereka dari sesi terbuka mereka di seluruh perangkat dan meminta mereka untuk masuk lagi. Namun, perusahaan tidak merinci berapa banyak orang yang terkena dampaknya.

"Kami mengambil tanggung jawab kami untuk melindungi privasi Anda dengan sangat serius dan sangat disayangkan hal ini terjadi," tulis Twitter dalam pengumumannya, di mana ia juga mendorong pengguna untuk meninjau sesi terbuka aktif mereka secara teratur dari pengaturan aplikasi.

Masalah ini adalah yang terbaru dalam deretan panjang insiden keamanan di perusahaan dalam beberapa tahun terakhir, meskipun tidak separah beberapa orang di masa lalu — seperti bug yang dilaporkan bulan lalu yang telah mengekspos setidaknya 5.4 juta akun Twitter. Dalam hal ini, kerentanan keamanan telah memungkinkan aktor ancaman untuk mengumpulkan informasi di akun pengguna Twitter, yang kemudian terdaftar untuk dijual di forum kejahatan dunia maya.

Mei lalu, Twitter juga terpaksa membayar $150 juta dalam penyelesaian dengan Komisi Perdagangan Federal karena menggunakan informasi pribadi yang diberikan oleh pengguna untuk mengamankan akun mereka, seperti email dan nomor telepon, untuk tujuan penargetan iklan. Dan pada tahun 2019, Twitter mengungkapkan bug yang telah membagikan data lokasi beberapa pengguna kepada mitra, dan satu lagi yang juga menyebabkan data pengguna dibagikan dengan mitra. Plus, itu menghadapi masalah di mana seorang peneliti keamanan telah menggunakan cacat di aplikasi Android untuk mencocokkan 17 juta nomor telepon dengan akun pengguna Twitter.

Meskipun sangat membantu bahwa Twitter transparan tentang bug yang ditemukannya dan perbaikan yang dilakukannya, masalah keamanan siber perusahaan secara keseluruhan sekarang berada di bawah pengawasan yang meningkat menyusul keluhan pelapor yang diajukan oleh mantan kepala keamanannya, Peiter "Mudge" Zatko pada bulan Agustus.

Zatko menuduh perusahaan telah lalai dalam mengamankan platformnya, mengutip masalah termasuk kurangnya keamanan perangkat karyawan, kurangnya perlindungan di sekitar kode sumber Twitter, akses karyawan yang berlebihan ke data sensitif dan layanan Twitter, sejumlah kerentanan yang tidak ditambal, kurangnya enkripsi data untuk beberapa data yang disimpan, jumlah insiden keamanan yang terlalu tinggi,  dan banyak lagi, serta ancaman terhadap keamanan nasional.

Dalam konteks ini, bug yang lebih rendah seperti yang diungkapkan minggu ini mungkin tidak dianggap sebagai kesalahan langkah satu kali oleh perusahaan, melainkan contoh lain dari masalah keamanan yang lebih luas di Twitter yang patut mendapat perhatian lebih.