Periskop.id - Dunia keamanan siber digegerkan oleh kebocoran data masif yang mengungkap lebih dari 183 juta kata sandi email, termasuk puluhan juta akun Gmail. Insiden ini disebut para analis sebagai salah satu kebocoran kredensial terbesar yang pernah ditemukan.

Dilansir dari New York Post, Senin (27/10), kumpulan data curian sebesar 3,5 terabita ini mulai beredar secara daring bulan ini. Menurut Troy Hunt, peneliti keamanan asal Australia dan pendiri situs notifikasi kebocoran data Have I Been Pwned, data tersebut berasal dari pengumpulan selama setahun di berbagai platform infostealer, yakni jaringan malware yang secara diam-diam mencuri nama pengguna, kata sandi, dan alamat situs web dari perangkat yang terinfeksi.

Dalam postingan blognya, Hunt menulis bahwa data ini terdiri dari log infostealer dan daftar credential stuffing yang merupakan kumpulan kombinasi username dan password yang sering digunakan kembali oleh peretas untuk mencoba masuk ke berbagai layanan lain. Dataset baru ini berisi 183 juta akun unik, termasuk sekitar 16,4 juta alamat email yang belum pernah muncul dalam kebocoran data sebelumnya.

Bukan Serangan Langsung ke Gmail, Tapi Malware di Perangkat Pengguna

Kebocoran data login ini mencakup Gmail, Outlook, Yahoo, dan ratusan layanan web lainnya. Para peneliti memastikan bahwa sebagian besar data memang berasal dari kebocoran lama yang didaur ulang, namun jutaan akun Gmail baru terkonfirmasi telah dikompromikan.

Juru bicara (jubir) Google memberikan klarifikasi kepada The Washington Post terkait insiden ini.

“Laporan tentang peretasan Gmail yang berdampak pada jutaan pengguna tidak akurat. Kebocoran ini berasal dari pembaruan rutin pada database pencurian kredensial, bukan dari serangan langsung terhadap Gmail,” terang sang jubir.

Hunt menjelaskan bahwa kebocoran ini terjadi bukan karena Gmail diretas secara langsung, melainkan karena malware di komputer pengguna yang mencatat proses login mereka. Korban sering kali tidak menyadari perangkat mereka terinfeksi melalui unduhan software palsu, lampiran email phishing, atau ekstensi browser berbahaya.

Ancaman Nyata: Penggunaan Kata Sandi yang Sama

Ancaman utama dari kebocoran ini adalah kebiasaan pengguna yang memakai kata sandi yang sama untuk berbagai akun, mulai dari penyimpanan cloud, perbankan, hingga media sosial. Hal ini memungkinkan penyerang menguasai seluruh identitas digital korban melalui proses otomatis yang disebut credential stuffing atau yang diartikan sebagai tindakan mencoba kombinasi username dan password curian di berbagai situs.

Analis keamanan asal Inggris, Michael Tigges dari Huntress, mengatakan kepada Yahoo News bahwa kejadian ini harus menjadi peringatan bagi siapa pun yang menyimpan password di browser.

“Kejadian ini bukan kebocoran tunggal, melainkan kumpulan data yang diambil dari jutaan log malware pencuri data,” katanya. “Ini menegaskan pentingnya tidak menggunakan kata sandi yang sama di banyak layanan dan menjaga keamanan email pribadi maupun bisnis,” jelas Michael.

Langkah Cek dan Pencegahan

Sebagai langkah pencegahan terhadap ancaman pencurian password, Hunt dan pihak Google menyarankan hal-hal berikut ini.

  1. Pengguna dapat mengecek apakah data mereka termasuk yang bocor dengan mengunjungi HaveIBeenPwned.com dan memasukkan alamat email. Jika akun ditemukan dalam daftar, situs itu akan menampilkan tanggal dan sumber kebocoran.
  2. Segera ganti kata sandi email dan akun penting lainnya.
  3. Aktifkan autentikasi dua faktor (Two-Factor Authentication/2FA) atau gunakan passkey untuk semua akun.
  4. Gunakan kata sandi berbeda untuk setiap akun dan menyimpannya di password manager terenkripsi, bukan di browser.
  5. Pastikan antivirus selalu diperbarui dan hanya unduh software dari sumber terpercaya.

Jubir Google juga menambahkan bahwa Google memiliki fitur Password Manager Checkup yang memindai login tersimpan dan memberi peringatan otomatis bila password lemah, digunakan ulang, atau sudah bocor.

Sementara itu, Hunt menegaskan bahwa ancaman sebenarnya datang dari rasa lengah pengguna yang masih menganggap keamanan digital bukan prioritas.