JuSun/Getty Images
Lagi-lagi kebocoran data mengungkapkan password dan informasi sensitif lainnya – tapi kali ini skala nya sangat besar.
Peneliti keamanan siber Jeremiah Fowler mengungkapkan temuannya tentang sebuah basis data online berisi lebih dari 184 juta kredensial akun unik, dalam laporan yang diterbitkan akhir bulan lalu. Nama pengguna, kata sandi, email, dan URL dari berbagai aplikasi dan situs—termasuk Google, Microsoft, Apple, Facebook, Instagram, dan Snapchat—disimpan dalam sebuah file. Basis data itu juga berisi kredensial untuk akun bank, platform kesehatan, dan portal pemerintahan.
Masalahnya? File itu tidak dienkripsi. Tidak ada proteksi password. Tidak ada keamanan. Hanya file teks biasa berisi jutaan data sensitif.
Berdasarkan analisisnya, Fowler menyimpulkan bahwa data ini dikumpulkan melalui malware infostealer, alat populer yang digunakan peretas untuk mencuri nama pengguna, password, dan data sensitif lainnya dari situs yang diretas. Begitu data ini didapat, pelaku bisa menggunakannya untuk serangan atau menjualnya di dark web.
Setelah menemukan basis data ini, Fowler menghubungi penyedia hosting, yang kemudian memblokir akses publik. Namun, karena pemilik file tidak terungkap, tidak diketahui apakah basis data ini sengaja dibocorkan atau tidak sengaja terekspos.
Fowler juga mengirim email ke beberapa orang yang terdaftar untuk memverifikasi kebenaran data. Beberapa di antaranya mengkonfirmasi bahwa password dan data lain dalam file tersebut valid.
Meski pelaku utama yang bertanggung jawab atas kebocoran ini jelas bersalah, pengguna juga turut berkontribusi.
"Banyak orang tanpa sadar memperlakukan email mereka seperti penyimpanan cloud gratis, menyimpan dokumen sensitif seperti formulir pajak, rekam medis, kontrak, dan password selama bertahun-tahun tanpa memikirkan risikonya," kata Fowler. "Ini bisa menimbulkan ancaman serius jika jatuh ke tangan peretas."
Dalam laporannya, Fowler menjelaskan beberapa risiko yang dihadapi korban kebocoran data:
- Serangan credential stuffing – Pengguna yang memakai password sama untuk beberapa akun rentan diretas.
- Pengambilalihan akun – Peretas bisa mencuri identitas, melakukan penipuan, atau menargetkan kontak korban.
- Ransomware & spionase perusahaan – Banyak kredensial bisnis yang bocor bisa digunakan untuk serangan ransomware atau spionase.
- Target lembaga pemerintah – Data dari akun pemerintahan bisa dimanfaatkan untuk serangan lebih luas.
- Phishing & rekayasa sosial – Email yang bocor memberi peretas sejarah percakapan dan kontak, memudahkan serangan phishing.
Cara Melindungi Diri
- Ganti password secara berkala – Minimal setahun sekali, terutama jika merasa password lama sudah bocor.
- Gunakan password unik & kompleks – Hindari pakai password sama untuk banyak akun.
- Pertimbangkan password manager – Meski berisiko jika master password dicuri, alat ini membantu mengelola password kuat.
- Aktifkan autentikasi dua faktor (MFA) – Tambahkan lapisan keamanan ekstra dengan kode atau security key.
- Cek kebocoran data – Gunakan layanan seperti HaveIBeenPwned untuk memantau.
- Pantau aktivitas akun – Manfaatkan notifikasi login mencurigakan dari layanan yang mendukung.
- Pasang software keamanan terkini – Pastikan definisi virus selalu diperbarui untuk deteksi ancaman baru.
Dapatkan berita teknologi terbaru di Tech Today newsletter.