Jakarta — Data kredensial milik ratusan juta akun online diduga mengalami kebocoran besar setelah sebuah basis data terbuka ditemukan berisi lebih dari 149 juta informasi login. Temuan ini diungkap dalam laporan yang dirilis oleh ExpressVPN dan melibatkan akun dari berbagai layanan populer.
Menurut laporan tersebut, data yang terekspos mencakup akun dari sejumlah platform global, antara lain Gmail, Facebook, Instagram, Netflix, Yahoo, hingga Outlook. Temuan ini berasal dari riset yang dilakukan oleh pakar keamanan siber Jeremiah Fowler, sebagaimana dikutip oleh PTI.
Dalam laporannya, Fowler menjelaskan bahwa jutaan akun dari berbagai layanan tercantum dalam basis data tersebut. Di antaranya sekitar 48 juta akun Gmail, 17 juta akun Facebook, 6,5 juta akun Instagram, 3,4 juta akun Netflix, 4 juta akun Yahoo, serta lebih dari 1,5 juta akun Outlook.
Yang mengkhawatirkan, database tersebut ditemukan dalam kondisi terbuka dan dapat diakses secara bebas tanpa perlindungan keamanan dasar. Fowler menyebut tidak ada kata sandi maupun sistem enkripsi yang melindungi data tersebut.
Ia mengungkapkan bahwa basis data itu memuat lebih dari 149 juta kombinasi nama pengguna dan kata sandi unik, dengan ukuran data mencapai sekitar 96 gigabita. Dalam peninjauan terbatas yang ia lakukan, Fowler menemukan ribuan berkas berisi alamat email, username, kata sandi, serta tautan langsung ke halaman login berbagai layanan digital.
Karena dapat diakses siapa saja, database tersebut berpotensi menjadi sumber penyalahgunaan informasi pribadi dalam skala luas. Fowler menegaskan bahwa data yang terkumpul berasal dari korban di berbagai negara dan mencakup hampir semua jenis layanan online yang umum digunakan.
Data Keuangan dan Akun Pemerintah Ikut Terekspos
Selain akun media sosial dan layanan hiburan, kumpulan data tersebut juga dilaporkan memuat informasi sensitif terkait layanan keuangan. Berdasarkan analisis awal, terdapat kredensial untuk dompet aset kripto, platform perdagangan, layanan perbankan, hingga data akun kartu kredit.
Salah satu aspek paling serius dari kebocoran ini adalah ditemukannya akun yang terhubung dengan alamat email milik instansi pemerintah. Fowler memperingatkan bahwa meskipun tidak semua akun pemerintah memberikan akses langsung ke sistem kritis, akses terbatas sekalipun dapat menimbulkan risiko besar tergantung pada peran pemilik akun tersebut.
Ia menjelaskan bahwa kredensial pemerintah yang bocor dapat dimanfaatkan untuk serangan spear-phishing yang terarah, pemalsuan identitas, atau bahkan menjadi pintu masuk ke jaringan internal lembaga negara. Kondisi ini berpotensi menimbulkan ancaman terhadap keamanan nasional dan keselamatan publik.
Fowler juga mengingatkan bahwa banyak pengguna kemungkinan belum menyadari bahwa data mereka telah terekspos. Dengan tersedianya email, kata sandi, dan tautan login yang spesifik, pelaku kejahatan siber dapat dengan mudah mengotomatiskan serangan credential stuffing ke berbagai layanan, mulai dari email, media sosial, sistem perusahaan, hingga layanan keuangan.
Situasi ini, menurutnya, secara signifikan meningkatkan risiko penipuan, pencurian identitas, kejahatan finansial, serta kampanye phishing yang terlihat meyakinkan karena menggunakan data akun dan layanan yang benar-benar ada.(BY)
