16 Miliar Password Meta, Apple Sampai Google Diduga Bocor

Menurut para peneliti, pelaku jahat kini memiliki akses tak terbatas ke kredensial pribadi yang dapat digunakan untuk pengambilalihan akun, pencurian identitas, dan serangan phishing yang sangat tertarget.

Jumlah orang atau akun yang terpapar belum diketahui. Namun para peneliti mengatakan kalau data tersebut kemungkinan berasal dari perangkat lunak berbahaya yang dikenal sebagai infostealer.

“Yang sangat mengkhawatirkan adalah struktur dan kemutakhiran kumpulan data ini—ini bukan hanya pelanggaran lama yang didaur ulang. Ini adalah intelijen yang segar dan dapat dimanfaatkan secara massal," kata para peneliti.

Menurut Vilius Petkauskas dari Cybernews, terdapat 30 dataset yang terekspos, masing-masing berisi antara puluhan juta hingga lebih dari 3,5 miliar catatan.

Baik badan intelijen maupun peretas sama-sama menggunakan daftar-daftar ini dan mengumpulkannya di dark web. Kadang-kadang diunggah ulang beberapa kali, atau juga dijual secara terpisah.

Peneliti mengaku sulit untuk menentukan tanpa menganalisis seluruh dataset, menghilangkan duplikat data, dan membandingkannya dengan dataset kebocoran data, apakah ini merupakan data yang dikemas ulang atau tidak.

Namun, para peneliti Cybernews yakin bahwa ini bukan kebocoran yang dikemas ulang. Bagaimanapun, 16 miliar adalah angka yang besar dan data kredensial semacam ini dapat disalahgunakan.

Kebocoran data mencakup miliaran kredensial login dari media sosial, VPN, portal pengembang, dan akun pengguna dari semua vendor besar.

Penggguna tidak dapat mengembalikan informasi yang telah bocor. Namun dapat mengambil langkah-langkah untuk mengetahui apakah kredensial terlibat dalam kebocoran data dan melindungi diri di masa depan.

• User dapat memeriksa di situs seperti Have I Been Pwned untuk melihat apakah alamat email muncul dalam kebocoran data.

• Mengaktifkan otentikasi dua langkah untuk akun juga dapat membantu melindungi dari akses yang tidak sah.

Platform juga menyediakan sumber daya untuk membantu pengguna mengamankan akun mereka.

• Google mendorong pengguna untuk menggunakan perlindungan yang tidak memerlukan kata sandi, seperti passkey. Ini adalah salah satu raksasa teknologi, bekerja bersama Apple, Amazon, dan Microsoft, untuk mengalihkan pengguna dari kata sandi guna mengamankan akun mereka.

• Bagi yang lebih memilih menggunakan kata sandi, pengelola kata sandi Google dapat menyimpan kredensial login dan memberi tahu pengguna jika kredensial tersebut muncul dalam kebocoran data.

• Ada juga Laporan Dark Web Google, alat gratis yang memantau apakah informasi pribadi beredar di basis data online.

• GitHub, platform coding online, menawarkan panduan bagi pengembang tentang cara menerapkan langkah-langkah keamanan di organisasi mereka. Situs ini merekomendasikan pembuatan kebijakan keamanan, pedoman kata sandi yang ketat, dan persyaratan otorisasi dua faktor.

• Meta menyediakan alat Privacy Checkup bagi pengguna untuk meninjau pengaturan privasi dan keamanan akun mereka. Di sana, user dapat mengaktifkan otentikasi dua faktor dan memastikan Meta memberi tahu pengguna tentang login yang mencurigakan.

• Telegram mengatakan metode login utamanya mengirimkan kata sandi sekali pakai ke pengguna melalui SMS.

Apple, GitHub, dan Meta belum menanggapi permintaan komentar terkait kebocoran data. Google mengatakan mereka mengarahkan pengguna ke beberapa sumber daya keamanan di atas.