Beberapa minggu setelah mantan kepala keamanan Twitter menuduh perusahaan salah urus keamanan siber, Twitter sekarang melakukannya diberitahukan penggunanya dari bug yang tidak menutup semua sesi masuk aktif pengguna di Android dan iOS setelah kata sandi akun disetel ulang. Masalah ini dapat berimplikasi pada mereka yang telah menyetel ulang kata sandi karena mereka yakin akun Twitter mereka berisiko, mungkin karena perangkat yang hilang atau dicuri, misalnya.

Dengan asumsi siapa pun yang memiliki perangkat tersebut dapat mengakses aplikasinya, mereka akan memiliki akses penuh ke akun Twitter pengguna yang terpengaruh.

Di dalam sebuah posting blog, Twitter menjelaskan bahwa mereka telah mempelajari bug yang memungkinkan “beberapa” akun tetap masuk di beberapa perangkat setelah pengguna mengatur ulang kata sandi mereka secara sukarela.

Biasanya, ketika pengaturan ulang kata sandi terjadi, token sesi yang membuat pengguna tetap masuk ke aplikasi juga dicabut – tetapi itu tidak terjadi pada perangkat seluler, kata Twitter. Sesi web, bagaimanapun, tidak terpengaruh dan ditutup dengan tepat, catatnya.

Twitter menjelaskan bahwa bug tersebut muncul setelah perubahan yang dibuatnya tahun lalu pada sistem yang mendukung pengaturan ulang kata sandinya, yang berarti bug tersebut telah ada selama beberapa bulan tanpa terdeteksi. Untuk mengatasi masalah ini, Twitter kini secara langsung memberi tahu pengguna yang terpengaruh, secara proaktif mengeluarkan mereka dari sesi terbuka di seluruh perangkat dan meminta mereka untuk masuk lagi. Namun, perusahaan tidak merinci berapa banyak orang yang terkena dampak.

“Kami mengambil tanggung jawab kami untuk melindungi privasi Anda dengan sangat serius dan sangat disayangkan hal ini terjadi,” tulis Twitter dalam pengumumannya, yang juga mendorong pengguna untuk tinjau sesi terbuka aktif mereka secara teratur dari pengaturan aplikasi.

Masalahnya adalah yang terbaru dari serangkaian panjang insiden keamanan di perusahaan dalam beberapa tahun terakhir, meskipun tidak separah beberapa di masa lalu – seperti bug yang dilaporkan bulan lalu yang telah mengungkap setidaknya 5,4 juta akun Twitter. Dalam kasus tersebut, kerentanan keamanan memungkinkan pelaku ancaman untuk mengumpulkan informasi di akun pengguna Twitter, yang kemudian didaftarkan untuk dijual di forum kejahatan dunia maya.

Mei lalu, Twitter juga dipaksa membayar $150 juta dalam penyelesaian dengan Komisi Perdagangan Federal karena menggunakan informasi pribadi yang diberikan oleh pengguna untuk mengamankan akun mereka, seperti email dan nomor telepon, untuk tujuan penargetan iklan. Dan pada tahun 2019, Twitter mengungkapkan bug yang telah membagikan beberapa data lokasi pengguna kepada mitra, dan bug lainnya juga menyebabkan data pengguna dibagikan kepada mitra. Plus, itu menghadapi masalah di mana seorang peneliti keamanan menggunakan cacat pada aplikasi Android untuk mencocokkan 17 juta nomor telepon dengan akun pengguna Twitter.

Meskipun sangat membantu bahwa Twitter bersikap transparan tentang bug yang ditemukan dan perbaikan yang dilakukannya, masalah keamanan siber perusahaan secara keseluruhan kini berada di bawah pengawasan ketat menyusul pengaduan pelapor yang diajukan oleh mantan kepala keamanannya, Peiter “Mudge” Zatko pada bulan Agustus.

Zatko menuduh perusahaan lalai dalam mengamankan platformnya, mengutip masalah termasuk kurangnya keamanan perangkat karyawan, kurangnya perlindungan di sekitar kode sumber Twitter, akses karyawan yang terlalu luas ke data sensitif dan layanan Twitter, sejumlah kerentanan yang belum ditambal, kurangnya enkripsi data untuk beberapa data yang disimpan, jumlah insiden keamanan yang terlalu tinggi, dan banyak lagi, serta ancaman terhadap keamanan nasional.

Dalam konteks ini, bug yang lebih kecil seperti yang diungkapkan minggu ini mungkin tidak dianggap sebagai kesalahan langkah satu kali oleh perusahaan, melainkan contoh lain dari masalah keamanan yang lebih luas di Twitter yang patut mendapat perhatian lebih.