Oleh : Dr Yudi Prayudi
Penulis adalah Kepala Pusat Studi Forensika Digital (Pusfid) Universitas Islam Indonesia
HARI-HARI belakangan ini salah satu isu mencuat dalam bidang keamanan siber adalah peretasan akun aplikasi video conference yang sangat popular. Laporan dari perusahaan keamanan siber Cyble menyebutkan terdapat 530.000 akun sebuah aplikasi video conference yang ditemukan telah diperjualbelikan di pasar dark web.
Laporan tersebut tentunya sangat mengagetkan banyak pihak. Bagi masyarakat awam yang selama ini menjadi pengguna aplikasi video conference yang sangat popular tersebut tentunya akan bertambah galau dan muncul kekhawatiran akan kelangsungan aktivitas berikutnya dalam menjalankan work from home menggunakan aplikasi video conference tersebut. Sayangnya sudut pandang pemberitaan media tidak mengungkap sisi lain dari laporan Cyble tersebut.
Laporan lengkap sebenarnya memberikan ulasan juga tentang bagaimana teknik yang memungkinkan hacker bisa mendapatkan 530.000 akun tersebut. Ternyata teknik yang digunakan adalah menggunakan password stuffing atau credential stuffing alias recycling password. Teknik tersebut adalah metode yang digunakan oleh hacker untuk melakukan peretasan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya telah tersedia di ranah publik.
Teknik ini sebenarnya adalah teknik sederhana, yaitu memanfaatkan akun-akun yang sudah pernah diretas sebelumnya. Peretasan akun adalah salah satu permasalahan keamanan siber yang selalu muncul setiap waktu. Ada sebuah nilai ekonomis tersendiri melalui jual beli data hasil peretasan tersebut.
Bila merujuk pada situs https://haveibeenpwned.com/ yang dikelola Troy Hunt, saat ini tercatat sekitar 9,5 miliar akun yang berhasil diretas yang berasal dari 495 website. Bahkan menurut situs yang dikelola Cyble yang beralamat di https://amibreached.com/ terdapat 32 miliar akun yang diretas yang tersedia dalam database mereka. Akun yang diretas umumnya memuat alamat email dan passwordnya.
Kelemahan umum yang sering dilakukan user aplikasi adalah menggunakan pasangan email dan password yang sama untuk berbagai aplikasi lainnya. Kemudahan dan kepraktisan menjadi alasan utama, umumnya user menggunakan pasangan email dan password, untuk berbagai aplikasi yang berbeda.
Fakta survei yang direlease Security Boulevard menyebutkan, 91% user menyadari risiko buruk keamanan apabila menggunakan kombinasi username dan password yang sama untuk berbagai aplikasi. Namun 59% responden selalu menggunakan yang sama untuk semua aplikasi. Dan 61% alasannya, karena takut lupa bila setiap aplikasi harus menggunakan password yang berbeda.
Kelemahan ini dimanfaatkan hacker dalam melakukan peretasan berbagai aplikasi, termasuk aplikasi video conference yang sedang populer tersebut. Hacker memanfaatkan data basis akun yang telah terpublikasi sebelumnya untuk kemudian menggunakannya kembali untuk meretas aplikasi target.
Peretasan aplikasi dengan menggunakan teknik password stuffing, sebenarnya merupakan kelemahan pada usernya itu sendiri, bukan semata-mata aplikasinya. Untuk itu, pengetahuan tentang bagaimana cara menggunakan username dan password yang aman harus menjadi pengetahuan dasar bagi setiap user.
Solusi terhadap password stuffing adalah mengganti password yang lama dengan password baru yang berbeda sama sekali. Kemudian terapkan secara konsisten kombinasi password yang kuat yang memuat huruf besar, huruf kecil, angka dan karakter. User dapat melakukan checking kekuatan password melalui aplikasi password meter.
Sementara untuk memudahkan penerapan password yang berbeda-beda untuk setiap aplikasi yang kita gunakan, maka aplikasi sejenis password manager dapat kita gunakan untuk menyimpan dan mengelola username dan password pada aplikasi yang berbeda-beda. Apabila suatu saat terpublikasi bahwa suatu aplikasi atau website tertentu telah diretas, maka apabila diri kita memiliki akun pada aplikasi/website tersebut, untuk meyakinkan diri bahwa akun kita aman dan tidak termasuk ke dalam data yang diretas, maka segera lakukan penggantian password.