Sebuah basis data yang berisi 149 juta nama pengguna dan kata sandi akun—termasuk 48 juta untuk Gmail, 17 juta untuk Facebook, dan 420.000 untuk platform kripto Binance—telah dihapus setelah seorang peneliti melaporkan kebocoran tersebut ke penyedia hosting.
Analis keamanan berpengalaman yang menemukan basis data ini, Jeremiah Fowler, tidak dapat menemukan indikasi siapa pemilik atau pengelolanya. Oleh karena itu, ia berupaya memberitahu pihak host, yang kemudian menurunkan kumpulan data tersebut karena melanggar perjanjian layanan.
Selain kredensial email dan media sosial dari berbagai platform, Fowler juga mengamati kredensial untuk sistem pemerintah dari beberapa negara, login perbankan konsumen dan kartu kredit, serta platform streaming media. Fowler menduga basis data ini dikumpulkan oleh malware infostealer yang menginfeksi perangkat lalu menggunakan teknik seperti keylogging untuk merekam informasi yang diketik korban ke situs web.
Selama upaya menghubungi layanan hosting selama sekitar satu bulan, Fowler menyatakan basis data tersebut terus bertambah, mengakumulasi login tambahan untuk berbagai layanan. Ia tidak menyebutkan nama penyedia, karena perusahaan tersebut merupakan host global yang berkontrak dengan perusahaan regional independen untuk memperluas jangkauannya. Basis data ini dihosting oleh salah satu afiliasinya di Kanada.
“Ini seperti daftar impian bagi penjahat, karena berisi begitu banyak jenis kredensial yang berbeda,” kata Fowler kepada WIRED. “Infostealer adalah penjelasan yang paling masuk akal. Basis datanya dalam format yang dibuat untuk mengindeks log besar, seolah-olah siapa pun yang menyiapkannya mengharapkan pengumpulan data dalam jumlah masif. Dan ada sangat banyak login pemerintah dari berbagai negara.”
Selain 48 juta kredensial Gmail, kumpulan data itu juga berisi sekitar 4 juta untuk akun Yahoo, 1,5 juta untuk Microsoft Outlook, 900.000 untuk iCloud Apple, dan 1,4 juta untuk akun akademik serta institusional .edu. Selain itu, terdapat pula sekitar 780.000 login untuk TikTok, 100.000 untuk OnlyFans, dan 3,4 juta untuk Netflix. Data tersebut dapat diakses publik dan dapat dicari hanya dengan menggunakan peramban web.
“Tampaknya data itu menangkap segalanya, namun satu hal yang menarik adalah sistem tersebut sepertinya secara otomatis mengklasifikasikan setiap log dengan pengidentifikasi unik yang tidak muncul ulang,” ujar Fowler. “Sepertinya sistem sedang mengorganisir data secara otomatis untuk mempermudah pencarian.”
Meski Fowler menekankan bahwa ia tidak menentukan siapa pemilik atau pengguna informasi tersebut dan untuk tujuan apa, struktur semacam itu akan masuk akal jika data tersebut diquery untuk pelanggan kriminal siber yang membayar berbagai subset informasi berdasarkan skam mereka.
Ada aliran yang tampaknya tak berujung dari basis data yang tidak diamankan dan dapat diakses publik secara keliru di internet, yang mengekspos informasi sensitif untuk diakses siapa saja. Namun, seiring broker data dan penjahat siber mengumpulkan kumpulan data yang semakin besar, risiko dari potensi pelanggaran pun terus meningkat. Malware infostealer telah memperparah masalah ini dengan membuat pengumpulan kredensial login dan data sensitif lainnya menjadi sederhana dan andal bagi para penyerang.
“Infostealer menciptakan hambatan masuk yang sangat rendah bagi penjahat baru,” kata Allan Liska, analis intelijen ancaman di perusahaan keamanan Recorded Future. “Menyewa satu infrastruktur populer, kami melihat biayanya sekitar $200 hingga $300 per bulan. Jadi dengan biaya kurang dari cicilan mobil, penjahat berpotensi mendapatkan akses ke ratusan ribu nama pengguna dan kata sandi baru setiap bulan.”