Sekitar 16 miliar informasi kredensial berupa kata sandi (password) yang berasal dari akun-akun layanan internet seperti Facebook, Google, Apple, dkk, bocor di internet.
Hal ini terungkap dari laporan terbaru blog teknologi yang biasa membahas kebocoran data di internet, Cybernews.
Dalam laporan tersebut, peneliti keamanan bernama Vilius Petkauskas mengatakan bahwa 16 miliar password yang bocor ini berasal dari 30 database yang berbeda di internet.
Masing-masing database tersebut mencakup sekitar puluhan hingga ratusan juta password akun-akun di internet, termasuk 184 juta data password Google, Apple, Facebook, dkk yang dilaporkan bocor sekitar akhir Mei lalu.
Ada duplikasi
Petkauskas mengatakan, ada kemungkinan password dari sebuah akun tercantum di beberapa database, sehingga terhitung sebagai duplikat.
Baca juga: Riset: 184 Juta Password Google, Apple, Facebook, dkk Bocor
Pasalnya, jumlah kredensial yang bocor ini dua kali lipat dari total populasi dunia yang berkisar di angka 8,2 miliar jiwa.
Artinya, satu orang bisa saja memiliki dua akun internet dan password. Kedua akun tersebut kemudian bocor dan tercantum di salah satu dari 30 database tersebut.
Petkauskas tidak bisa memastikan berapa angka pasti password yang bocor. Namun berapapun angkanya, ia menyebut kebocoran data ini tetap berbahaya lantaran bersifat “baru” dan tidak berasal dari insiden kebocoran password yang terjadi beberapa tahun belakangan.
Baca juga: Threads Sesumbar Dapat 1 Juta Pengguna Baru Tiap Hari
“Ini bukan sekadar kebocoran data, ini adalah ‘senjata’ untuk eksploitasi massal. Dengan informasi ini, peretas bisa memiliki akses ke banyak informasi sensitif dan mencurinya untuk melakukan hal-hal yang tak baik,” kata Petkauskas.
“Hal yang lebih mengkhawatirkan adalah fakta bahwa ini merupakan kebocoran password terbesar dala sejarah dengan data-data yang baru, bukan lama,” imbuh dia.
Berasal dari berbagai sumber yang bocor
Petkauskas melanjutkan bahwa database ini diambil dan dikumpulkan dari berbagai sumber. Beberapa di antaranya seperti password yang dikumpulkan malware, aplikasi pencuri kredensial berupa infostealer, dan database lainnya yang tersebar di internet.
Dengan kata lain, 16 miliar password yang bocor ini bukan berasal dari kebocoran data di satu atau beberapa perusahaan.
Periset di Cybernews lanjut menyebut bahwa informasi kredensial yang tercantum di puluhan database tadi tak hanya berisikan password, melainkan disertai juga dengan informasi lain seperti token, cookies, metadata, dll.
Baca juga: Bocor, Data Verifikasi Wajah dan Identitas yang Dipakai TikTok dan X
Dengan berbagai informasi ini, peretas atau hacker bisa melakukan percobaan pembobolan akun (credential stuffing) berkali-kali sampai mereka berhasil masuk dan mengakses akun tersebut.
Ketika data berhasil dicuri, maka mereka bisa melakukan berbagai macam hal, salah satunya adalah menjual akun-akun tersebut di internet.
Mereka juga bisa melakukan penipuan (phishing), mengirimkan aplikasi berbahaya macam malware atau ransomware, mengirimkan serangan siber ke kerabat atau perusahaan, dan masih banyak lagi.
“Kebocoran password ini sangat berbahaya bagi pengguna, apalagi jika mereka hanya mengamankan akun mereka dengan kata sandi saja, tidak dengan fitur keamanan lain,” jelas Petkauskas.
Apa yang harus dilakukan pengguna? Seperti disebutkan di atas, 16 miliar password ini berasal dari berbagai akun di internet. Artinya, pengguna harus tetap waspada lantaran bisa saja password media sosial mereka terekspos dalam 30 database tadi.
Untuk mengecek apakah password yang dipakai pernah tercantum dalam kebocoran data, pengguna bisa mengakses laman HaveIBeenPwned di tautan berikut ini. Di sana, mereka bisa memasukkan kata sandi akun internet-nya untuk melacak apakah password semacam itu pernah terlibat dala kebocoran data atau tidak.
Sebagai antisipasi, pengguna tentunya juga bisa mengganti password mereka seunik mungkin supaya kuat, serta mengaktifkan fitur keamanan tambahan yang disediakan platform-platform di internet.
Beberapa di antaranya seperti two-factor authentication (2FA), password manager, hingga passkey yang memakai data biometrik yang tersimpan di perangkat, sebagaimana dirangkum KompasTekno dari Cybernews, Sabtu (21/6/2025).(Sumber)
