Kumpulan besar 1,3 miliar kata sandi dan hampir dua miliar alamat email telah terekspos secara online.
Have I Been Pwned (HIBP), sebuah layanan online yang memberi tahu orang-orang jika mereka terkena pelanggaran data, memproses data yang dikumpulkan dari berbagai sumber tempat penjahat dunia maya mempublikasikan kredensial curiannya.
CEO HIBP Troy Hunt, yang mengakui kata sandinya masuk dalam daftar, mengatakan: ‘Korpus ini hampir tiga kali ukuran pelanggaran terbesar sebelumnya yang kami lakukan. [have ever] sarat.’
Kumpulan data tersebut mencakup 1,957,476,021 alamat email unik dan 1,3 miliar kata sandi unik, 625 juta belum pernah dilihat sebelumnya oleh HIBP.
Dengan lebih dari 5,5 miliar orang di seluruh dunia menggunakan internet, para peneliti memperingatkan bahwa setiap orang harus mengubah kata sandi mereka sebagai tindakan pencegahan.
Catatan tersebut menggabungkan pelanggaran masa lalu dengan daftar isian kredensial, sejenis data yang digunakan oleh penyerang untuk mencoba kata sandi yang dicuri di beberapa akun.
HIBP memverifikasi kumpulan data dengan memeriksa kredensial pengguna sebenarnya. Banyak kata sandi yang sudah lama atau tidak digunakan, namun kata sandi lainnya masih aktif melindungi akun, yang menggambarkan risiko di dunia nyata.
Hunt menawarkan HIBP untuk membantu pengguna menentukan apakah kredensial mereka disusupi, memungkinkan mereka memeriksa alamat email dan kata sandi untuk mendapatkan hasil instan.
Kumpulan data tersebut mencakup 1,957,476,021 alamat email unik dan 1,3 miliar kata sandi unik
HIBP Layanan Kata Sandi Pwned memungkinkan siapa pun memeriksa apakah kata sandi telah terekspos sebelumnya tanpa mengungkapkan alamat email mana yang ditautkan, menjaga privasi sekaligus meningkatkan keamanan.
“Saya benci judul berita yang hiperbolik tentang pelanggaran data, namun agar judul ‘2 Miliar Alamat Email’ menjadi hiperbolik, maka judul tersebut perlu dibesar-besarkan atau dilebih-lebihkan – dan ternyata tidak demikian,” kata Hunt.
‘Ini adalah kumpulan data terluas yang pernah kami proses, dengan selisih tertentu.
Pakar keamanan siber mendesak tindakan segera, dengan meminta individu untuk menggunakan pengelola kata sandi yang aman dan membuat kata sandi yang unik dan kuat untuk setiap akun.
Otentikasi dua faktor harus diaktifkan di semua akun, dengan prioritas diberikan pada email dan login administratif.
Organisasi disarankan untuk menjalankan pemeriksaan kredensial untuk mengidentifikasi kata sandi yang digunakan kembali atau terekspos di antara pengguna.
Deteksi kata sandi yang dilanggar harus diterapkan saat login dan perubahan kata sandi. Hak istimewa akses harus diaudit, akun layanan dibatasi, dan kredensial lama harus dihapus.
Bagi individu, dampak utama dari pelanggaran data ini sudah jelas: kata sandi saja tidak lagi cukup.
Dengan lebih dari 5,5 miliar orang di seluruh dunia menggunakan internet, para peneliti memperingatkan bahwa sejumlah besar orang kemungkinan besar memiliki setidaknya beberapa akun mereka yang disusupi.
Organisasi menghadapi tantangan serupa namun dalam skala yang lebih besar.
Serangan pengisian kredensial sangat berbahaya karena satu kata sandi yang bocor dapat memberikan penyerang akses ke sistem perusahaan, akun email, dan data sensitif.
Perusahaan disarankan untuk mengadopsi model akses zero-trust, menerapkan kebijakan dengan hak paling rendah, menerapkan MFA, dan terus memantau kredensial yang terekspos. Rencana respons terhadap pelanggaran harus aktif, dan sistem otomatis harus mendeteksi dan mencegah upaya memasukkan kredensial.
Dari sudut pandang teknis, pemrosesan korpus yang sangat besar ini menimbulkan tantangan yang signifikan.
HIBP harus mengoptimalkan infrastruktur Azure SQL untuk mengelola dua miliar catatan di samping 15 miliar catatan yang ada, sekaligus menjaga layanan langsung tersedia bagi jutaan pengguna setiap hari.
Data di-hash dan dimasukkan dalam beberapa batch, dengan beberapa putaran verifikasi dan pengujian untuk memastikan kinerja dan akurasi. Notifikasi email kepada pelanggan yang terkena dampak secara hati-hati diatur untuk mencegah pembatasan dan menjaga kemampuan pengiriman.
Pada akhirnya, kumpulan data yang sangat besar ini menyoroti risiko berkelanjutan yang ditimbulkan oleh penggunaan kembali dan kebocoran kredensial.
