‘Password Stuffing’

Oleh : Dr Yudi Prayudi
Penulis adalah Kepala Pusat Studi Forensika Digital (Pusfid) Universitas Islam Indonesia

HARI-HARI belakangan ini salah satu isu mencuat dalam bidang keamanan siber adalah peretasan akun aplikasi video conference yang sangat popular. Laporan dari perusahaan keamanan siber Cyble menyebutkan terdapat 530.000 akun sebuah aplikasi video conference yang ditemukan telah diperjualbelikan di pasar dark web.

Laporan tersebut tentunya sangat mengagetkan banyak pihak. Bagi masyarakat awam yang selama ini menjadi pengguna aplikasi video conference yang sangat popular tersebut tentunya akan bertambah galau dan muncul kekhawatiran akan kelangsungan aktivitas berikutnya dalam menjalankan work from home menggunakan aplikasi video conference tersebut. Sayangnya sudut pandang pemberitaan media tidak mengungkap sisi lain dari laporan Cyble tersebut.

Laporan lengkap sebenarnya memberikan ulasan juga tentang bagaimana teknik yang memungkinkan hacker bisa mendapatkan 530.000 akun tersebut. Ternyata teknik yang digunakan adalah menggunakan password stuffing atau credential stuffing alias recycling password. Teknik tersebut adalah metode yang digunakan oleh hacker untuk melakukan peretasan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya telah tersedia di ranah publik.

Teknik ini sebenarnya adalah teknik sederhana, yaitu memanfaatkan akun-akun yang sudah pernah diretas sebelumnya. Peretasan akun adalah salah satu permasalahan keamanan siber yang selalu muncul setiap waktu. Ada sebuah nilai ekonomis tersendiri melalui jual beli data hasil peretasan tersebut.

Bila merujuk pada situs https://haveibeenpwned.com/ yang dikelola Troy Hunt, saat ini tercatat sekitar 9,5 miliar akun yang berhasil diretas yang berasal dari 495 website. Bahkan menurut situs yang dikelola Cyble yang beralamat di https://amibreached.com/ terdapat 32 miliar akun yang diretas yang tersedia dalam database mereka. Akun yang diretas umumnya memuat alamat email dan passwordnya.

Kelemahan umum yang sering dilakukan user aplikasi adalah menggunakan pasangan email dan password yang sama untuk berbagai aplikasi lainnya. Kemudahan dan kepraktisan menjadi alasan utama, umumnya user menggunakan pasangan email dan password, untuk berbagai aplikasi yang berbeda.

BERITA REKOMENDASI