Riset firma keamanan siber Digital Shadows menemukan bahwa selama 1,5 tahun terakhir, telah terjadi lebih dari 100.000 praktik pembobolan yang membocorkan 15 miliar ”username” dan ”password”.
Dari sebuah riset firma keamanan siber Amerika Serikat, Digital Shadows, menyebut 15 miliar kredensial atau informasi log-in digital telah diperdagangkan selama 18 bulan terakhir. Akun perbankan menjadi yang paling banyak diperjualbelikan.
Riset ini mencatat telah terjadi lebih dari 100.000 kejadian pembobolan selama 2019 dan paruh pertama 2020 ini. Vice-president of Strategy dari Digital Shadows Rick Holland mengatakan, akun yang dibobol ini banyak menyimpan informasi sensitif.
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Apabila seseorang berhasil masuk ke dalam akun yang dimaksud menggunakan kredensial yang didapatkan secara ilegal, informasi dalam akun tersebut dapat digunakan untuk membobol akun lain yang dimiliki korban.
”Pesan kami sederhana, masyarakat harus menggunakan password yang berbeda untuk setiap akun,” kata Rick Holland dalam pernyataan yang dirilis pada Rabu (8/7/2020) malam.
Praktik memiliki password yang berbeda setiap akun dan rutin mengubahnya membutuhkan kesadaran dan upaya yang lebih dari masyarakat. Terlebih lagi, ternyata, hasil survei perusahaan aplikasi password manager Lastpass pada 2017 menunjukkan bahwa secara rata-rata orang memiliki 191 akun digital.
Pengguna dapat menggunakan layanan seperti HaveIbeenPwned untuk memeriksa apakah akun yang anda miliki sudah pernah dibobol dan password-nya beredar di internet.
Aplikasi password manager juga dapat digunakan untuk mengelola daftar kredensial yang Anda miliki. Aplikasi Password Manager juga dapat membantu Anda membuatkan password yang kuat.
DARK SHADOWS—Perbandingan harga akun yang dijual.
Akun bank paling banyak dan mahal
Dari 15 miliar kredensial yang diperdagangkan, yang paling populer dijual adalah akun layanan perbankan dan keuangan. Akun perbankan memakan porsi 25 persen dari total pasar perdagangan akun. Secara rata-rata, setiap akun ini dijual dengan harga 70,91 dollar AS.
”Kebanyakan akun perbankan dan keuangan yang dijual ini berasal dari AS, kemudian diikuti dengan Kanada, Australia, Inggris, dan Jerman,” kata Holland.
Di posisi kedua, dengan angka 13 persen, jenis akun yang paling banyak dijual adalah akun layanan video-on-demand. Akun layanan seperti Netflix ini dijual dengan harga yang relatif lebih terjangkau, kurang dari 10 dollar AS untuk akses yang diklaim ”seumur hidup”.
DARK SHADOWS–Grafik ini menunjukkan jenis akun yang paling banyak dijual. Sebanyak 25 persen adalah akun perbankan dan keuangan.
Digital Shadows juga menemukan bahwa ada praktik lelang akses kredensial terhadap sistem milik perusahaan ataupun organisasi lain. Tercatat ada puluhan pihak yang melelang kredensial ini dengan harga mencapai 120.000 dollar AS (Rp 1,7 miliar) dengan rata-rata senilai 3.139 dollar AS (Rp 45,2 juta).
”Akun administrator semacam ini dihargai sangat tinggi di dunia kriminal siber. Seseorang yang menguasai akun administrator akan dapat mengubah konfigurasi, mengubah isi data, dan memberikan pihak lain akses terhadap sistem tersebut,” kata Holland.
DARK SHADOWS—Akun layanan streaming Netflix menjadi salah satu barang yang banyak dijual di pasar web gelap.
Hal ini yang awalnya juga dilakukan peretas yang mengklaim telah memiliki akses terhadap basis data personel Polri pada akhir Mei lalu. Saat itu, alamat IP, username, dan password ia jual dengan harga 1.200 dollar AS. Polri membantah bahwa basis datanya berhasil dibobol.
Kondisi lanskap keamanan siber global juga diperparah dengan munculnya perdagangan berbagai perangkat lunak pembobol paksa (brute force) dengan harga yang relatif murah, sekitar 4 dollar.
Metode bruteforce mengacu pada proses pembobolan paksa yang dilakukan dengan mencoba seluruh kombinasi username dan password yang dimungkinkan. Untuk itu penting bagi masyarakat untuk mengaktifkan setidaknya otentikasi dua faktor (two factor authentication) terhadap akun-akun yang dimiliki.
DARK SHADOWS—Aplikasi brute-force yang diklaim dapat digunakan untuk masuk ke akun login perbankan AS. Aplikasi ini dihargai 3 dollar AS.
Data Tokopedia Dibagikan Gratis
Sementara itu, pada awal pekan ini, basis data situs perdagangan Tokopedia yang dijual dengan harga 5.000 dollar di pasar web gelap (dark web), kini telah dibagikan secara gratis di situs Raid Forums.
Sebuah akun yang bernama Cellbris membagikan database tersebut mulai awal pekan ini. Ia mengunggahnya pada layanan hosting eksternal. Tautannya kemudian ia bagikan di forum. Cellbris juga terus memperbarui tautan pengunduhan file basis data tersebut hingga Rabu kemarin.
Memantau percakapan di forum tersebut, beberapa kali tautan yang dilampirkan hanya aktif beberapa saat. Hal ini karena file tersebut diduga dihapus pengelola hosting atas dasar pelanggaran hukum.
KOMPAS/SATRIO PANGARSO WISANGGENI—Posting dari pelaku yang membagikan file basis data Tokopedia di situs Raid Forums.
Ketua Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC) Pratama Persadha mengatakan, ia telah mengunduh file tersebut dan dapat dipastikan bahwa isinya benar 91 juta akun Tokopedia yang sempat dibobol tersebut. File tersebut total berukuran 28 gigabyte (GB).
Ia mengatakan, password memang terlindungi enkripsi. Namun data lain, terbuka tanpa enkripsi, seperti nama lengkap, alamat surel, nomor telepon, hingga jenis kelamin.
”Tanpa perlu password, cukup dengan data ini, potensi kejahatannya sudah cukup banyak. Dari profiling, sampai penipuan mengatasnamakan Tokopedia dan pemerasan,” kata Pratama.
Mengenai kejadian ini, VP of Corporate Communications Tokopedia Nuraini Razak memastikan bahwa ini bukanlah upaya pencurian data baru. Ia menegaskan bahwa password terlindung dibalik enkripsi.
”Kami telah melaporkan hal ini kepada pihak kepolisian dan juga mengingatkan seluruh pihak untuk menghapus segala informasi yang memfasilitasi akses ke data yang diperoleh melalui cara yang melanggar hukum,” kata Nuraini seperti yang dilaporkan Kompas.com.
DARK SHADOWS—Rekening bank AS yang dijual di pasar web gelap.
Oleh SATRIO PANGARSO WISANGGENI
Editor: KHAERUDIN KHAERUDIN
Sumber: Kompas, 9 Juli 2020