Cyberthreat.id - Seorang peretas telah membocorkan 1,9 juta catatan pengguna Pixlr yang berisi informasi yang dapat digunakan untuk serangan phishing dan menebak kata sandi.

Pixlr adalah aplikasi pengeditan foto online yang sangat populer dan gratis dengan banyak fitur yang sama yang ditemukan di editor foto desktop profesional seperti Photoshop. Di Indonesia, saat seseorang membuka situs pixlr.com, langsung diarahkan ke laman berbahasa Indonesia dengan alamat https://pixlr.com/id.

Selain menawarkan alat pengeditan dasar yang gratis, Pixlr juga menyediakaan keanggotaan premium yang mencakup alat yang lebih canggih, stok foto, dan fitur lainnya. Keanggotaan premium ini membutuhkan data pengguna.

Seperti diberitakan Bleepng Computer, Rabu (20 Januari 2021), aktor ancaman yang dikenal sebagai ShinyHunters membagikan database secara gratis di forum peretas yang dia klaim telah dicuri dari Pixlr saat dia membobol situs stok foto 123rf. Pixlr dan 123rf dimiliki oleh perusahaan yang sama, Inmagine.

ShinyHunters adalah aktor ancaman yang terkenal karena meretas situs web dan menjual basis data pengguna curian dalam penjualan pribadi atau melalui broker pembobol data. Di masa lalu, ShinyHunters bertanggung jawab atas pelanggaran data di Tokopedia, Homechef, Minted, Chatbooks, Dave, Promo, Mathway, Wattpad, dan banyak lagi.

Basis data Pixlr yang diduga diposting oleh ShinyHunters berisi 1.921.141 catatan pengguna yang terdiri dari alamat email, nama login, sandi dengan hash SHA-512, negara asal pengguna, apakah mereka mendaftar untuk buletin, dan informasi internal lainnya.

Data Diklaim Dicuri dari Amazon Web Services
ShinyHunters menyatakan dia mengunduh database dari keranjang Amazon Web Services (AWS) perusahaan pada akhir 2020. Seperti diketahui AWS menyewakan tempat penyimpanan data berbasis cloud kepada pihak ketiga.

Setelah berbagi basis data, banyak pelaku ancaman lain yang sering mengunjungi forum peretas menyampaikan apresiasi kepada ShinyHunters karena data itu dapat digunakan untuk aktivitas jahat mereka.

Meskipun Pixlr belum menanggapi permintaan komentar,  BleepingComputer telah mengonfirmasi bahwa banyak alamat email dalam basis data tersebut adalah anggota Pixlr yang terdaftar.

Apa yang harus dilakukan pengguna Pixlr sekarang?

Karena beberapa data yang terpapar dipastikan akurat, tampaknya itu adalah pelanggaran yang sah.

Sangat disarankan agar semua pengguna Pixlr segera mengubah kata sandi mereka di situs karena sangat berhati-hati. Pengguna harus menggunakan kata sandi yang unik dan kuat yang tidak digunakan di situs lain.[]