Informasi terbaru tentang insiden keamanan

Terakhir diperbarui pada 30 Juli 2020 pukul 17.00 Waktu Pasifik dengan detail tambahan di bagian "Apa yang kami ketahui sekarang" dan "Apa yang kami lakukan untuk melindungi layanan kami."

-------------------------------------------------------------------------------------

30 Juli 2020
Sejalan dengan investigasi yang masih berlangsung, kami ingin berbagi informasi terbaru untuk menjawab beberapa pertanyaan berdasarkan apa yang kami temukan hingga hari ini. Mengingat investigasi hukum masih berlangsung dan setelah kami menyelesaikan tugas kami untuk melindungi layanan kami dengan lebih baik, Kami akan menyampaikan laporan teknis yang lebih detail tentang apa yang terjadi di kemudian hari.

Apa yang kami ketahui sekarang
Kronologi insiden teknis yang terjadi pada tanggal 15 Juli 2020 dimulai dari penyerangan terhadap beberapa karyawan kami melalui metode phone spear phishing. Ketika operasi ini berhasil dilakukan, penyerang akan mendapatkan akses ke peralatan internal kami. Tidak semua karyawan kami memiliki izin untuk mengakses peralatan yang mengelola akun-akun di Twitter, namun apa yang dilakukan penyerang adalah mereka menggunakan identitas karyawan tersebut untuk masuk ke dalam sistem internal kami, lalu mempelajari cara mengakses alat yang mendukung pengelolaan akun-akun di Twitter. Informasi ini kemudian dipakai penyerang untuk menargetkan karyawan yang memiliki akses kepada alat tersebut. Dengan menggunakan identitas karyawan yang memiliki akses ke peralatan ini, penyerang berhasil meretas 130 akun Twitter, menge-Tweet dengan 45 akun, mengakses Direct Message 36 akun, dan mengunduh data Twitter dari 7 akun.

Kami sedang meninjau kembali setelah terjadinya insiden ini mengenai peralatan dan tingkat karyawan yang memerlukan akses. Untuk menjalankan Twitter, kami memiliki sejumlah tim global yang membantu untuk mengelola akun-akun di Twitter. Tim kami menggunakan peralatan milik Twitter yang berguna untuk membantu mereka menyelesaikan berbagai isu, meninjau konten di Twitter sesuai dengan Peraturan Twitter, dan memberikan respon terhadap berbagai laporan. Akses terhadap peralatan ini sangatlah terbatas dan hanya akan diizinkan jika ada alasan bisnis yang valid. Kami tidak memberikan ruang toleransi bagi karyawan yang menyalahgunakan identitas atau peralatan, dan kami juga selalu aktif untuk memantau isu, mengaudit izin secara reguler, dan mengambil tindakan langsung jika ada yang mengakses informasi akun tanpa alasan bisnis yang valid. Meskipun seluruh peralatan, kontrol, dan proses ini selalu diperbaharui dan ditingkatkan secara berkala; kami selalu berusaha untuk memperbaharui sistem kami lebih jauh lagi.

Penyerangan ini sangat bergantung pada perencanaan dan percobaan yang sangat signifikan untuk mengelabui karyawan dan mengeksploitasi emosi untuk mendapatkan akses sistem internal kami. Insiden ini telah memberikan peringatan keras pada kami tentang betapa pentingnya seluruh anggota tim dalam melindungi layanan kami. Kami bertanggung jawab atas hal ini dan semua orang di Twitter berkomitmen untuk selalu mengedepankan keamanan informasi Anda di Twitter.

Kami juga telah berdiskusi secara langsung dengan pemilik akun yang terdampak dan telah mengembalikan akses akun tersebut yang sebelumnya kami kunci ketika masa pemulihan. Investigasi kami sedang berjalan, dan kami telah bekerja sama dengan pihak yang berwajib untuk mengidentifikasi semua orang yang terlibat dalam penyerangan ini.

Apa yang kami lakukan untuk melindungi layanan kami
Setelah insiden ini, kami telah membatasi perizinan akses kepada peralatan dan sistem internal kami secara signifikan untuk memastikan bahwa seluruh keamanan akun di Twitter selama proses investigasi kami. Hasilnya, beberapa fitur (seperti akses untuk mengunduh Data Twitter Anda) dan beberapa proses lainnya telah terdampak. Kami juga memerlukan waktu yang lebih lama untuk menjawab kebutuhan akun, Tweet yang dilaporkan, dan aplikasi kepada platform pengembang kami. Kami meminta maaf untuk penundaan yang terjadi, namun kami percaya bahwa kebijakan ini sangatlah penting sebagai langkah preventif ketika kami sedang melakukan pembaharuan pemrosesan dan peralatan, karena insiden ini. Kami akan mempercepat durasi respon secara bertahap sampai normal kembali ketika kami bisa memastikan kesiapan layanan kami. Terima kasih atas kesabarannya.

Kami selalu melakukan investasi pada peningkatan protokol keamanan, teknik, dan mekanisme - ini adalah cara kami untuk selalu berada di depan setiap ancaman meskipun mereka selalu berkembang. Kedepannya, kami akan menyempurnakan beberapa area keamanan inti yang telah ada dan proses pembaharuan alat kami. Kami juga mengembangkan metode kami untuk mendeteksi dan mencegah akses yang tidak sesuai dengan sistem internal kami dan memprioritaskan seluruh pekerjaan keamanan di hampir seluruh tim kami. Kami akan melanjutkan untuk merancang latihan phising setiap tahunnya dalam skala yang besar.

Kami akan terus memberikan informasi terbaru dan langkah preventif sehingga pihak lain juga dapat belajar dari insiden ini. Kami menyadari akan kepercayaan yang Anda berikan bagi kami, dan kami berkomitmen untuk terus mendapatkan kepercayaan itu dengan terus memberikan kabar secara terbuka, jujur, dan secara berkala jika terjadi insiden serupa.

-------------------------------------------------------------------------------------

18 Juli 2020

Seperti yang kami sampaikan melalui akun @TwitterSupport, pada Rabu 15 Juli 2020, kami mendeteksi adanya insiden keamanan di Twitter dan langsung mengambil tindakan. Menjelang akhir pekan ini, kami ingin menyampaikan rekap informasi tentang upaya yang telah dilakukan. 

Rangkuman dalam tulisan ini ditulis pada tanggal 17 Juli pukul 20.35 Waktu Pasifik. Berikut temuan yang kami dapatkan hingga hari ini, dan mungkin dapat berubah seiring berlanjutnya investigasi internal dan eksternal. Untuk diketahui, karena investigasi insiden ini masih berlangsung, ada sejumlah detail yang belum dapat kami sampaikan (khususnya seputar remediasi) untuk menjaga upaya tersebut tetap aman. Jika memungkinkan nantinya, kami akan memberikan informasi yang lebih lengkap sehingga komunitas dan rekanan kami dapat memahami insiden ini lebih lanjut. 

Apa yang terjadi 

Saat ini, kami meyakini penyerang menargetkan karyawan Twitter tertentu melalui skema rekayasa sosial. Apa artinya? Dalam konteks ini, rekayasa sosial adalah manipulasi yang disengaja agar membuat korbannya melakukan aksi tertentu dan menguak informasi rahasia. 

Penyerang berhasil memanipulasi sejumlah karyawan dan menggunakan kredensial mereka untuk mengakses sistem internal Twitter, termasuk membobol perlindungan dua faktor. Hingga saat ini, mereka mengakses alat-alat yang hanya tersedia bagi tim dukungan internal untuk menargetkan 130 akun Twitter. Penyerang berhasil membobol 45 akun dan mengatur ulang kata sandinya, masuk ke akun, lalu mengirim Tweet. Kami melanjutkan tinjauan forensik seluruh akun tersebut untuk mengonfirmasi semua tindakan yang mungkin dilakukan oleh penyerang. Selain itu, kami meyakini penyerang mungkin mencoba untuk menjual beberapa nama pengguna.

Penyerang juga mengunduh informasi akun dari delapan akun target menggunakan alat “Data Twitter Anda”. Ini adalah alat yang berfungsi untuk memberikan rangkuman detail akun dan aktivitas Twitter kepada pemilik akun. Kami langsung menghubungi pemilik akun saat kami mengetahui hal ini. Kedelapan akun tersebut bukan akun terverifikasi.

Tindakan kami 

Kami mengetahui adanya serangan pada hari Rabu, dan langsung bertindak cepat untuk mengunci dan mendapatkan kembali kendali akun yang diretas. Tim tanggap insiden kami mengamankan dan mencabut akses ke sistem internal untuk mencegah penyerang semakin jauh mengakses sistem atau akun pengguna tersebut. Seperti yang disebutkan di atas, saat ini kami sengaja membatasi detail yang kami berikan terkait langkah remediasi untuk melindungi efektivitas upaya ini. Apabila memungkinkan, kami akan memberikan detail teknis yang lebih lengkap di masa mendatang.

Upaya lain yang kami lakukan yaitu, sesaat setelah kami mengetahui adanya penyerangan, kami melakukan langkah pencegahan untuk membatasi fungsi di beberapa akun di Twitter - termasuk membuat akun tidak dapat menge-Tweet atau mengubah kata sandi. Kami melakukannya untuk mencegah penyerang menyebarkan penipuan lebih luas dan juga agar mereka tidak mengambil kendali akun lainnya saat kami sedang melakukan investigasi. Sebagai tindakan kewaspadaan, kami juga mengunci akun yang belum lama ini mengubah kata sandinya. Pada Rabu malam, kami mengembalikan fungsi menge-Tweet di beberapa akun, dan hingga hari ini, kami telah memulihkan sebagian besar akun yang dikunci agar pemilik bisa mengubah kata sandinya. 

Kami bekerja sama dengan penegakan hukum dalam melanjutkan investigasi ini, dan menentukan tindakan jangka panjang yang harus kami lakukan untuk meningkatkan keamanan sistem. Kami memiliki tim yang bekerja sepanjang waktu menangani hal ini dan menjaga pengguna Twitter agar tetap aman dan mengetahui informasi terkini. 

Apa yang diakses penyerang 

Pertanyaan utama di benak sebagian besar pengguna Twitter adalah — apakah penyerang melihat informasi pribadi saya? Untuk akun-akun yang tidak menjadi target penyerangan, kami yakin jawabannya adalah tidak. Untuk 130 akun target penyerangan, berikut temuan kami hingga hari ini.

• Penyerang tidak dapat melihat kata sandi lama akun, karena tidak disimpan dalam format teks sederhana atau tidak tersedia di alat yang digunakan untuk menyerang.
  
• Penyerang dapat melihat informasi pribadi termasuk alamat email dan nomor telepon, yang ditampilkan kepada beberapa pengguna alat dukungan internal kami.
  
• Apabila akun diambil alih oleh penyerang, mereka mungkin dapat melihat informasi lainnya. Investigasi forensik mengenai aktivitas ini masih berlangsung.
  

Kami meyakini penyerang mengakses kotak masuk DM milik 36 akun dari 130 akun target, termasuk milik 1 pejabat terpilih di Belanda. Hingga saat ini, kami tidak melihat indikasi adanya akses ke DM milik pejabat terpilih atau mantan pejabat terpilih lainnya. [Ditambahkan pada 22 Juli 2020]

Kami secara aktif berupaya memberi tahu secara langsung pemilik akun yang terdampak.

Langkah berikutnya

Menjelang akhir ini dan pekan depan, kami fokus pada tujuan inti berikut:

1. Memulihkan akses bagi semua pemilik akun yang mungkin akunnya masih terkunci sebagai hasil dari upaya remediasi.
   
2. Melanjutkan investigasi insiden bekerja sama dengan penegakan hukum. 
   
3. Meningkatkan keamanan sistem lebih lanjut untuk mencegah penyerangan di masa mendatang.
   
4. Mengadakan pelatihan tambahan di tingkat perusahaan agar terlindung dari taktik rekayasa sosial untuk melengkapi pelatihan yang diperoleh karyawan saat orientasi serta saat latihan tentang phishing yang diadakan setiap tahunnya.
   

Melalui semua ini, kami juga memulai upaya jangka panjang menumbuhkan kembali kepercayaan orang-orang yang menggunakan dan mengandalkan Twitter. 

Kami benar-benar memahami tanggung jawab kepada semua orang yang menggunakan layanan kami, dan kepada masyarakat secara umum. Kami sangat menyayangkan hal ini, dan kami memohon maaf atas insiden ini. Kami paham bahwa kami harus menumbuhkan kembali kepercayaan Anda, dan kami akan mengerahkan segala upaya agar pelaku penyerangan mendapatkan sanksi hukum yang sesuai. Kami harap kepercayaan Anda tetap utuh berkat keterbukaan dan transparansi selama proses ini, serta langkah dan upaya yang kami lakukan untuk melindungi dari serangan lain di masa mendatang.

Hasil investigasi selanjutnya dapat dilihat di @TwitterSupport.