|
Posted on May 9th 2020 |
Beredarnya data pengguna Zoom, Tokopedia, dan Bukalapak di dark web menambah daftar panjang perusahaan yang menjadi mangsa para peretas alias hacker. Terakhir, dikabarkan sebanyak 91 juta data pengguna Tokopedia, 13 juta data pengguna Bukalapak, dan setengah juta data pengguna Zoom beredar di situs gelap tersebut.
Meski disebutkan jika data pengguna di aplikasi masih tetap aman, tapi data-data pribadi lain seperti email, nomor ponsel, nama lengkap, hingga alamat sudah bocor dan bisa saja disalahgunakan.
Adanya kebocoran data ini membuat banyak pengguna menyalahkan perusahaan. Akan tetapi sebenarnya masalah ini jauh lebih besar dengan melibatkan hacker, wilayah tanpa batas hukum dari internet dan kegagalan kita sendiri dalam memilih kata sandi yang baik.
Masalah Kata Sandi
Dikutip dari CNN, ratusan juta akun telah menjadi korban pelanggaran data melalui phising, malware, dan berbagai serangan lain setiap tahun. Berdasarkan penghitungan yang dijalankan oleh Privacy Rights Clearinghouse yang berbasis di California, lebih dari 11,6 miliar rekaman telah dilanggar sejak 2005.
Akun-akun tersebut kemudian akan dibuang ke forum peretas atau dark web, kumpulan situs yang hanya bisa diakses oleh jenis browser tertentu yang disebut Tor (The Inion Router). Situs-situs dark web ini biasanya diakhiri dengan .onion.
Pada awal 2002, situs ini sebenarnya dibuat oleh Angkatan Laut Amerika Serikat agar mereka bisa melakukan komunikasi online secara anonim. Enkripsi dan anonimitas sistem kemudian ditingkatkan yang berarti sering digunakan untuk aktivitas ilegal, termasuk penjualan obat terlarang.
Data yang berhasil dicuri kemudian digunakan untuk mendapatkan akses di situs lain. Ini adalah teknik paling umum yang digunakan oleh para hacker untuk mengambil alih akun atau istilah populernya adalah credential stuffing.
Ahli keamanan cyber Bruce Schneiner mengatakan, para hacker yang berhasil melakukan peretasan data biasanya melakukan uji coba meretas akun yang menggunakan email sama. Peretasan ini biasanya berhasil karena password yang digunakan sama. Tak hanya Bruce, Microsoft bahkan pernah memperkirakan sekitar 73 persen pengguna internet menggunakan kata sandi yang sama untuk akun-akun mereka.
"Mata rantai terlemah adalah perilaku manusia. Kita sering berpikir jika semua ini membutuhkan banyak kemampuan teknis mendalam dan ilmiah, tetapi sebenarnya ini hanya algoritma. Hal ini membuat orang cenderung menggunakan kata sandi yang mudah diingat di banyak tempat," ujar Kiersten Todt, direktur pelaksana Cyber Readiness Institue, yang memberi masukan ke perusahaan tentang cara mengamankan jaringan.
Cari Tahu Apakah Akun Kalian Diretas
Ada banyak perusahaan yang menawarkan pemindaian dark web gratis, yang memungkinkan kalian mengirim informasi termasuk nomor jaminan sosial, informasi kartu kredit dan nomor telepon, jika kalian curiga telah diretas. Perusahaan tersebut kemudian akan menjelajahi dark web dan akan memberitahu jika menemukan sesuatu.
Tetapi pemindaian ini tidak seratus persen menjamin. "Hampir tidak mungkin sebuah perusahaan mencari di seluruh dark web. Pemindaian dapat mengungkap ketika data kalian telah diekspos, tetapi tidak dapat menemukan setiap permintaan untuk hal ini," tulis para peneliti di NortonLifeLock di sebuah postingan.
Jika kalian ingin cara lebih mudah dan tidak ingin membagikan informasi sensitif yang sama karena khawatir terekspos, beberapa situs menawarkan layanan yang memungkinkan untuk mengecek apakah ada peretasasn hanya dengan memasukkan alamat email.
Google (GOOGL) pada bulan Desember melakukan pembaruan ke browser Chrome yang dapat memperingatkan orang-orang jika nama pengguna atau sandi telah diretas. Cyble juga memiliki situs bernama amibreached.com yang dapat mengetahui apakah ada peretasan hanya dengan memasukkan alamat email.
Penyedia antivirus lain seperti Avast juga memiliki layanan serupa. Sementara Schneier, yang juga merupakan anggota Harvard University's Berkman Center for Internet and Security tersebut, mengatakan jika dia membuat mahasiswanya di Harvard untuk mengecek data mereka di haveibeenpwned.com.
Bagaimana Melindungi Data?
Ketika akun kalian sudah diretas, tidak banyak yang bisa dilakukan selain mengganti kata sandi. "Ketika kata sandiku telah dicuri, apakah ada cara terbaik untuk mengatasi aksi kriminal ini? Apakah bisa menghapus namaku dalam daftar peretasan itu? Tidak. Gantilah kata sandi," ujar Schneier.
Jika kalian belum diretas, di sisi lain, kalian bisa menggunakan kata sandi yang sulit atau berbeda untuk setiap akun yang dimiliki. Salah satu cara yang mudah, menurut Kiersten Todt, adalah dengan menggunakan satu kalimat penuh dengan minimal 15 karakter dibanding hanya satu kata atau kombinasi nomor kata. Misalnya saja dengan menggunakan kata sandi "timolahragafavoritkuadalahPersebaya" dibanding hanya "Persebaya1927".
Sementara bagi kalian yang kesulitan mengingat banyaknya kata sandi untuk setiap akun. Todt merekomendasikan pengelola sandi seperti 1Password, LastPass dan Dashlane untu digunakan.
Layanan online ini dapat mengenkripsi dan menyimpan banyak kata sandi sehingga kalian tidak perlu repot mengetik. Dengan menggunakan layanan tersebut juag dapat mencegah pengulangan kata sandi di akun yang berbeda.
Sayangnya, layanan tersebut juga rentan. Di tahun 2015 LastPass telah diretas, dimana hackers mendapatkan akses ke alamat email, pengingat kata sandi, dan versi kata sandi yang ditulis dalam kode.
Pengguna juga bisa menambahkan perlindungan tambahan lain dengan menggunakan otentikasi multi-faktor atau otentikasi dua faktor. Jadi, selain dengan kata sandi, kalian juga memerlukan kredensial eksternal tambahan, seperti sidik jari, kombinasi angka yang berubah yang biasa didapatkan dari aplikasi, atau kode OTP yang dikirimkan ke email dan sms.(*)
