Hati-hati! Bisa jadi data username dan password-mu sudah tersebar tanpa kamu sadari. Kasus ini bernama credential stuffing, sebuah serangan otomatis oleh peretas dengan menggunakan username dan password yang bocor dari satu platform untuk mencoba masuk ke platform lain secara massal. Dampak dari serangan ini bisa berupa pencurian data, pembajakan akun, kerugian finansial, perlambatan sistem, dan lain-lain.
Sejauh ini, kamu mungkin merasa aman-aman saja setiap berselancar di media sosial. Kamu merasa lancar setiap masuk ke aplikasi, website, atau laman apapun yang membutuhkan username dan password. Tidak ada kecurigaan yang kamu temui, bahkan ketika kamu selalu memberikan password yang sama di mana saja. Namun, tanpa kamu sadari, bisa saja data password-mu itu disalahgunakan bahkan diperjualbelikan oleh para peretas. Inilah yang disebut credential stuffing.
A. Pengertian Credential Stuffing
Dirangkum dari Cloudflare, credential stuffing adalah serangan otomatis oleh peretas dengan menggunakan username dan password yang bocor dari satu platform untuk mencoba masuk ke platform lain secara massal. Hal ini bisa terjadi karena pengguna seringkali menggunakan password dan username yang sama di banyak aplikasi. Tidak heran jika jenis serangan ini tergolong lebih masif dibanding jenis serangan lainnya (Fortinet).
Ketika sebuah platform mengalami kebocoran data, username, dan password dikumpulkan bahkan bisa saja dijual dalam bentuk format berupa combo list (file berisi jutaan pasangan username dan password siap digunakan) untuk kepentingan komersial. Combo list ini diperjualbelikan di dark web atau platform tertentu dengan harga yang murah bahkan gratis hanya untuk menarik konsumen baru. Dampak dari serangan ini bisa berupa pencurian data, pembajakan akun, kerugian finansial, perlambatan sistem, dan lain-lain.
B. Mekanisme dan Contoh dari Credential Stuffing
Mekanisme awal dari serangan ini terdiri dari beberapa tahapan. Tahap pertama, peretas mengambil atau membeli data-data yang ditemukan di dark web atau diunduh dari arsip tertentu. Tahap kedua, semua data tersebut dimasukkan ke software otomatisasi yang menguji ribuan bahkan jutaan percobaan login secara bersamaan ke berbagai platform sasaran. Tahap ketiga, jika terdapat percobaan login yang berhasil, maka akun tersebut akan digunakan untuk kepentingan peretas. Entah itu digunakan untuk kembali diperjualbelikan, digunakan untuk melakukan serangan lanjutan, atau digunakan untuk mencuri data lain yang penting dari akun tersebut. Bahaya dari serangan ini tidak ditentukan dari tingkat keberhasilannya, melainkan dari banyaknya percobaan yang dilakukan secara masif dan bersamaan.
Contoh kasus nyata dari credential stuffing ini sering terjadi setiap tahunnya. Pada tahun 2020, Forbes pernah melaporkan bahwa terdapat lebih dari 15 miliar data login curian yang berasal dari 100 ribu kasus pelanggaran data. Di tahun yang sama, terdapat lebih dari 300 ribu akun Spotify yang mendapatkan serangan ini. Baru-baru ini statistik terbaru menunjukan bahwa terdapat 146 juta data login untuk masuk ke beberapa platform. Kasus lebih nyata dan lebih dekat dari pengaruh credential stuffing ini bisa kamu temukan pada orang-orang yang menjual akun-akun tidak resmi dari sebuah platform untuk berlangganan premium. Seperti contohnya akun Spotify, Canva, Netflix, dan lain-lain. Data yang dijual lebih murah dari akun resmi tersebut merupakan hasil dari credential stuffing.
C. Tanda-tanda dan Tips agar Terhindar dari Credential Stuffing
Tanda-tanda akunmu sudah terkena credential stuffing ini bisa berupa adanya notifikasi login dari perangkat atau lokasi asing. Lalu, kamu mendapatkan kode OTP yang tidak kamu minta. Tidak berhenti sampai di situ, kamu pun menyadari bahwa terdapat aktivitas atau transaksi mencurigakan pada akunmu, padahal kamu tidak melakukan itu. Saat ingin masuk, tiba-tiba password yang kamu masukan itu salah dan sudah diganti tanpa sepengetahuanmu. Jika salah satu atau semua itu terjadi, kamu bisa langsung menindaklanjutinya agar tidak semakin merugikanmu.
Untuk kamu yang masih merasa aman juga perlu hati-hati, tapi juga jangan overthinking setelah mengetahui fakta-fakta tadi. Kamu tetap bisa mencegah agar tidak terkena serangan credential stuffing ini. Langkah pertama, kamu bisa mengecek terlebih dahulu di laman haveibeenpwned untuk mengetahui apakah datamu pernah bocor dengan memasukkan alamat emailmu. Tenang saja, situs ini aman karena dikelola oleh peneliti keamanan Troy Hunt dan bisa digunakan secara gratis. Langkah kedua, sebisa mungkin kamu selalu membedakan setiap password yang kamu gunakan untuk login ke suatu aplikasi atau platform. Pastikan juga kata kunci yang kamu gunakan tidak mudah ditebak dan dibobol. Hindari penggunaan password berupa tanggal lahir atau angka-angka repetitif.
Langkah ketiga, kamu bisa mengaktifkan autentikasi dua faktor untuk keamanan tingkat tinggi. Hal ini akan menyulitkan peretas karena untuk bisa masuk secara utuh, mereka juga perlu verifikasi dua langkah lagi yang hanya bisa kamu lakukan. Sehubungan dengan kemasifan dari credential stuffing, cara terbaik untuk mencegahnya bukanlah kehadiran teknologi lainnya, tetapi kesadaran pengguna digital untuk memperbaiki kesalahan penggunaan password yang sama dan membangun kebiasaan di dunia digital dengan lebih bijak. Dengan melindungi akun dan password pribadi, kamu sudah melindungi hidup dan dirimu sendiri.
Referensi
Cloudflare. https://www.cloudflare.com/learning/bots/what-is-credential-stuffing/
Fortinet. https://www.fortinet.com/resources/cyberglossary/credential-stuffing
Nagacyberdefense.https://nagacyberdefense.net/news/lebih-dari-300-ribu-akun-spotify-diretas-dalam-serangan-credential-stuffing/
Bagikan artikel ini
