KOMPAS.com – Sekitar 16 miliar informasi kredensial berupa kata sandi (password) yang berasal dari akun-akun layanan internet seperti Facebook, Google, Apple, dkk, bocor di internet.
Hal ini terungkap dari laporan terbaru blog teknologi yang biasa membahas kebocoran data di internet, Cybernews.
Dalam laporan tersebut, peneliti keamanan bernama Vilius Petkauskas mengatakan bahwa 16 miliar password yang bocor ini berasal dari 30 database yang berbeda di internet.
Masing-masing database tersebut mencakup sekitar puluhan hingga ratusan juta password akun-akun di internet, termasuk 184 juta data password Google, Apple, Facebook, dkk yang dilaporkan bocor sekitar akhir Mei lalu.
Ada duplikasi
Petkauskas mengatakan, ada kemungkinan password dari sebuah akun tercantum di beberapa database, sehingga terhitung sebagai duplikat.
Baca juga: Riset: 184 Juta Password Google, Apple, Facebook, dkk Bocor
Pasalnya, jumlah kredensial yang bocor ini dua kali lipat dari total populasi dunia yang berkisar di angka 8,2 miliar jiwa.
Artinya, satu orang bisa saja memiliki dua akun internet dan password. Kedua akun tersebut kemudian bocor dan tercantum di salah satu dari 30 database tersebut.
Petkauskas tidak bisa memastikan berapa angka pasti password yang bocor. Namun berapapun angkanya, ia menyebut kebocoran data ini tetap berbahaya lantaran bersifat “baru” dan tidak berasal dari insiden kebocoran password yang terjadi beberapa tahun belakangan.
“Ini bukan sekadar kebocoran data, ini adalah ‘senjata’ untuk eksploitasi massal. Dengan informasi ini, peretas bisa memiliki akses ke banyak informasi sensitif dan mencurinya untuk melakukan hal-hal yang tak baik,” kata Petkauskas.
“Hal yang lebih mengkhawatirkan adalah fakta bahwa ini merupakan kebocoran password terbesar dala sejarah dengan data-data yang baru, bukan lama,” imbuh dia.
Berasal dari berbagai sumber yang bocor
Petkauskas melanjutkan bahwa database ini diambil dan dikumpulkan dari berbagai sumber. Beberapa di antaranya seperti password yang dikumpulkan malware, aplikasi pencuri kredensial berupa infostealer, dan database lainnya yang tersebar di internet.
Dengan kata lain, 16 miliar password yang bocor ini bukan berasal dari kebocoran data di satu atau beberapa perusahaan.
Periset di Cybernews lanjut menyebut bahwa informasi kredensial yang tercantum di puluhan database tadi tak hanya berisikan password, melainkan disertai juga dengan informasi lain seperti token, cookies, metadata, dll.
Baca juga: Bocor, Data Verifikasi Wajah dan Identitas yang Dipakai TikTok dan X
Dengan berbagai informasi ini, peretas atau hacker bisa melakukan percobaan pembobolan akun (credential stuffing) berkali-kali sampai mereka berhasil masuk dan mengakses akun tersebut.
Ketika data berhasil dicuri, maka mereka bisa melakukan berbagai macam hal, salah satunya adalah menjual akun-akun tersebut di internet.
No responses yet