Dunia maya kembali digegerkan oleh temuan masif kebocoran data kredensial. Sebanyak 16 miliar informasi kredensial berupa kata sandi (password) dari berbagai akun layanan internet besar seperti Facebook, Google, dan Apple, dilaporkan telah bocor dan beredar bebas. Angka yang mencengangkan ini setara dengan dua kali lipat total populasi manusia di dunia yang kini mencapai sekitar 8,2 miliar jiwa.
Temuan mengejutkan ini diungkap dalam laporan terbaru Cybernews, sebuah blog teknologi ternama yang secara aktif memantau dan melaporkan insiden kebocoran data di internet. Vilius Petkauskas, seorang peneliti keamanan siber dari Cybernews, mengungkapkan bahwa 16 miliar password tersebut dihimpun dari 30 database berbeda yang tersebar luas di jagat maya.
Setiap database yang ditemukan memuat puluhan hingga ratusan juta kata sandi akun. Sebagai contoh, ada 184 juta data password Google, Apple, dan Facebook yang sebelumnya dilaporkan bocor pada akhir Mei 2025 lalu. Petkauskas mengakui bahwa ada kemungkinan duplikasi data, di mana satu password dari sebuah akun bisa saja tercantum di beberapa database, atau satu orang memiliki lebih dari satu akun internet yang keduanya bocor dan tercantum dalam salah satu dari 30 database tersebut.
Meski tidak dapat memastikan angka pasti jumlah password unik yang bocor, Petkauskas menegaskan bahwa insiden ini tetap sangat berbahaya. Data yang beredar tergolong baru, bukan berasal dari insiden lama yang sudah usang. “Ini bukan sekadar kebocoran data biasa, ini adalah ‘senjata’ untuk eksploitasi massal,” tegas Petkauskas. “Dengan informasi ini, para peretas bisa memiliki akses ke banyak informasi sensitif dan mencurinya untuk melakukan hal-hal yang tak baik.”
Ia menambahkan, “Hal yang lebih mengkhawatirkan adalah fakta bahwa ini merupakan kebocoran password terbesar dalam sejarah dengan data-data yang masih baru, bukan yang sudah lama.” Peneliti tersebut juga merinci bahwa data-data krusial ini dikumpulkan dari beragam sumber, tidak hanya dari satu atau dua insiden kebocoran perusahaan besar. Beberapa di antaranya berasal dari malware, aplikasi pencuri kredensial (infostealer), serta database bocor lainnya yang tersebar di internet.
Selain kata sandi, informasi lain yang turut tersebar di database ini mencakup token, cookies, dan metadata. Dengan kepemilikan data-data ini, peretas dapat melancarkan serangan credential stuffing, yaitu upaya percobaan login berulang-ulang menggunakan kombinasi username dan password curian hingga berhasil masuk ke akun korban. Setelah berhasil menguasai akun, konsekuensi yang mungkin terjadi sangat beragam, mulai dari penjualan akun di pasar gelap internet, melakukan penipuan phishing, menyebarkan malware atau ransomware, hingga melancarkan serangan siber ke target lain seperti kerabat atau perusahaan korban.
“Kebocoran password sebesar ini sangat berbahaya bagi pengguna, apalagi jika mereka hanya mengamankan akun mereka dengan kata sandi saja, tanpa mengandalkan fitur keamanan tambahan lainnya,” kata Petkauskas.
Untuk meminimalisir risiko, pengguna diimbau untuk segera mengambil langkah pencegahan. Salah satu langkah pertama adalah memeriksa apakah password yang digunakan pernah terlibat dalam insiden kebocoran data melalui situs HaveIBeenPwned. Di sana, pengguna dapat mengecek apakah kata sandi mereka termasuk dalam database yang bocor.
Selain itu, sangat disarankan untuk secara berkala mengganti password dengan kombinasi yang unik, kuat, dan sulit ditebak. Aktivasi fitur keamanan tambahan seperti otentikasi dua faktor (2FA), penggunaan manajer kata sandi (password manager), atau passkey berbasis data biometrik di perangkat juga menjadi langkah krusial. Langkah-langkah proaktif ini sangat penting untuk melindungi akun pribadi dari potensi pembobolan di tengah masifnya peredaran data curian di internet, seperti dirangkum oleh KompasTekno dari Cybernews pada Senin (23/6/2025).
