Jakarta, MISTAR.ID

Sedikitnya 16 miliar informasi kredensial berupa kata sandi (password) yang berasal dari akun-akun layanan internet seperti Facebook, Google, Apple, dkk bocor di internet. Hal ini terungkap dari laporan terbaru blog teknologi yang biasa membahas kebocoran data di internet, Cybernews.

Berdasarkan laporan itu, peneliti keamanan, Vilius Petkauskas menyebut 16 miliar password yang bocor ini berasal dari 30 database yang berbeda di internet.

Masing-masing database tersebut mencakup sekitar puluhan hingga ratusan juta password akun-akun di internet, termasuk 184 juta data password Google, Apple, Facebook, dkk yang dilaporkan bocor sekitar akhir Mei lalu. Ada duplikasi Petkauskas mengatakan ada kemungkinan password dari sebuah akun tercantum di beberapa database, sehingga terhitung sebagai duplikat.

Pasalnya, jumlah kredensial yang bocor ini dua kali lipat dari total populasi dunia yang berkisar di angka 8,2 miliar jiwa. Artinya, satu orang bisa saja memiliki dua akun internet dan password.

Kedua akun tersebut kemudian bocor dan tercantum di salah satu dari 30 database tersebut. Petkauskas tidak bisa memastikan berapa angka pasti password yang bocor. Namun berapapun angkanya, ia menyebut kebocoran data ini tetap berbahaya lantaran bersifat "baru" dan tidak berasal dari insiden kebocoran password yang terjadi beberapa tahun belakangan.

"Ini bukan sekadar kebocoran data, ini adalah 'senjata' untuk eksploitasi massal. Dengan informasi ini, peretas bisa memiliki akses ke banyak informasi sensitif dan mencurinya untuk melakukan hal-hal yang tak baik," kata Petkauskas seperti dikutip,Sabtu (21/6/2025).

Hal yang lebih mengkhawatirkan, katanya, fakta ini merupakan kebocoran password terbesar dala sejarah dengan data-data yang baru, bukan lama. Berasal dari berbagai sumber yang bocor Petkauskas melanjutkan database ini diambil dan dikumpulkan dari berbagai sumber. Beberapa di antaranya seperti password yang dikumpulkan malware, aplikasi pencuri kredensial berupa infostealer, dan database lainnya yang tersebar di internet.

Dengan kata lain, 16 miliar password yang bocor ini bukan berasal dari kebocoran data di satu atau beberapa perusahaan. Periset di Cybernews lanjut menyebut bahwa informasi kredensial yang tercantum di puluhan database tadi tak hanya berisikan password, melainkan disertai juga dengan informasi lain seperti token, cookies, metadata, dll.

Dengan berbagai informasi ini, peretas atau hacker bisa melakukan percobaan pembobolan akun (credential stuffing) berkali-kali sampai mereka berhasil masuk dan mengakses akun tersebut. Ketika data berhasil dicuri, maka mereka bisa melakukan berbagai macam hal, salah satunya adalah menjual akun-akun tersebut di internet.

Mereka juga bisa melakukan penipuan (phishing), mengirimkan aplikasi berbahaya macam malware atau ransomware, mengirimkan serangan siber ke kerabat atau perusahaan, dan masih banyak lagi.

"Kebocoran password ini sangat berbahaya bagi pengguna, apalagi jika mereka hanya mengamankan akun mereka dengan kata sandi saja, tidak dengan fitur keamanan lain," tutur Petkauskas.

Apa yang harus dilakukan pengguna? Seperti disebutkan di atas, 16 miliar password ini berasal dari berbagai akun di internet. Artinya, pengguna harus tetap waspada lantaran bisa saja password media sosial mereka terekspos dalam 30 database tadi. Untuk mengecek apakah password yang dipakai pernah tercantum dalam kebocoran data, pengguna bisa mengakses laman HaveIBeenPwned.

Mereka bisa memasukkan kata sandi akun internet-nya untuk melacak apakah password semacam itu pernah terlibat dala kebocoran data atau tidak. Sebagai antisipasi, pengguna tentunya juga bisa mengganti password mereka seunik mungkin supaya kuat, serta mengaktifkan fitur keamanan tambahan yang disediakan platform-platform di internet.

Beberapa diantaranya seperti two-factor authentication (2FA), password manager, hingga passkey yang memakai data biometrik yang tersimpan di perangkat. (kompas/hm18)