Ilustrasi | Foto: freepik.com
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Selama satu dekade terakhir banyak insiden pelanggaran data, tapi daftar berikut ini bisa dikategorikan yang terbesar menimpa penyedia platform digital.
Kebocoran data dalam konteks ini penyalahgunaan atau pelanggaran data yang terjadi karena adanya peretas yang menyusup ke perusahaan, bukan perusahaan yang membiarkan data terbuka dan diambil peretas.
CSO online, situs web yang mengkhususkan di bidang keamanan siber, merangkum insiden pelanggaran data terbesar, termasuk siapa yang terpengaruh, siapa yang bertanggung jawab dan bagaimana perusahaan menanggapinya.
Berikut 15 daftar pelanggaran data terbesar yang dihimpun oleh CSO Online dan penambahan informasi dari riset Cyberthreat.id, Selasa (26 Januari 2021):
1] Heartland Payment Systems–Maret 2008
Perusahaan pemroses pembayaran berkantor di Princeton, New Jersey Amerika Serikat ini memproses 100 juta transaksi kartu pembayaran per bulan untuk 175.000 pedagang; kebanyakan skala kecil hingga menengah.
Insiden siber ditemukan pada Januari 2009 yang terjadi pada aplikasi "Passport"—biasa dipakai untuk memproses transaksi kartu kredit dan kartu debit dan mengirim pembayaran ke pedagang.
Para penyerang diduga mengeksploitasi kerentanan untuk melakukan serangan injeksi SQL.
Pada 2008 sebetulnya Visa dan MasterCard telah memberitahu perusahaan bahwa terjadi transaksi yang mencurigakan. Bahkan, temuan BankInfoSecurity menyebutkan, pelanggaran itu dimulai pada 26 Desember 2007. Ada orang yang tidak berwenang meretas jaringan komputer Heartland dan memperoleh akses ke data keuangan rahasia yang terkait dengan 130 juta kartu kredit dan kartu debit.
Karena pelanggaran itu, Industri Kartu Pembayaran (PCI) menganggap Heartland tidak menerapkan Standar Keamanan Data (DSS) dan tidak diizinkan memproses pembayaran penyedia kartu kredit utama hingga Mei 2009. Perusahaan juga membayar US$145 juta sebagai kompensasi atas adanya penipuan pembayaran.
Dua pelaku akhirnya ditemukan dan ditangkap, yaitu satu orang asal Rusia dan Albert Gonzalez asal dari AS didakwa pada 2009. Gonzalez dituding mendalangi operasi internasional mencuri kartu kredit/debit, lalu divonis 20 tahun penjara pada Maret 2010.
2] Adobe – 2013
Kebocoran data dikabarkan oleh blogger keamanan Brian Krebs pada awal Oktober 2013. Krebs melaporkan bahwa file yang dicuri peretas dari Adobe sekitar 150 juta nama pengguna dan kata sandi yang dilindungi hash.
Hasil risetnya menunjukkan bahwa peretasan telah mengekspose nama pelanggan, user ID, kata sandi, dan informasi kartu debit dan kredit.
Adobe, perusahaan perangkat lunak grafis, mengatakan hampir 3 juta catatan kartu kredit pelanggan yang terenkripsi dicuri peretas, ditambah data login untuk jumlah pengguna akun yang tidak ditentukan.
Namun, Adobe menaikkan perkiraannya dan memasukkan user ID dan kata sandi terenkripsi untuk 38 juta pengguna aktif juga ikut terdampak.
Pada Agustus 2015, Pemerintah AS meminta Adobe membayar US$1,1 juta kepada pengguna untuk menyelesaikan klaim pelanggaran Undang-Undang Catatan Pelanggan dan praktik bisnis yang tidak adil. Pada November 2016, jumlah yang dibayarkan kepada pelanggan dilaporkan sebesar US$1 juta.
3] MySpace – 2013
Situs web jejaring sosial musik terkemuka ini, lebih awal dari YouTube dan tutup pada 2015—menjadi pemberitaan besar pada 2016. Ini lantaran 360 juta akun penggunanya dijual di pasar web gelap, The Real Deal, seharga 6 bitcoin (sekitar US$ 3.000 pada saat itu).
Menurut perusahaan, data yang hilang termasuk alamat email, sandi, dan nama pengguna untuk akun yang dibuat sebelum 11 Juni 2013 di platform lama MySpace. Menurut Troy Hunt dari HaveIBeenPwned, kata sandi disimpan sebagai hash SHA-1 dari 10 karakter pertama dari kata sandi yang diubah menjadi huruf kecil.
5] eBay – 2 014
Situs web jual beli, eBay melaporkan adanya kebocoran data 145 juta penggunanya pada Mei 2014. Data yang bocor mencakup nama, alamat, tanggal lahir, dan kata sandi terenkripsi. Peretas menggunakan kredensial tiga karyawan eBay untuk mengakses jaringan perusahaan dan memiliki akses penuh selama 229 hari lebih dari cukup waktu untuk membobol basis data pengguna.
Perusahaan pun meminta penggunanya untuk mengubah kata sandi mereka. Sementara, informasi keuangan seperti nomor kartu kredit diklaim tersimpan secara terpisah dan tidak terdampak. eBay pada saat itu dikritik karena kurang komunikasi dengan penggunanya dan implementasi yang buruk dari proses pembaruan kata sandi.
eBay mengklaim bekerja sama dengan penegak hukum dan pakar keamanan terkemuka untuk menyelidiki kebocoran data itu, tulis BankInfoSecurity.
5] NetEase – 2015
Berasal dari China, NetEase adalah penyedia layanan kotak surat melalui situs web 163.com dan 126.com. Pelanggaran berdampak pada 235 juta akun pelanggan, antara lain alamat email dan kata sandi teks biasa. Data itu dijual di pasar web gelap yakni DoubleFlag.
NetEase membantah adanya kebocoran data. HaveIBeenPwned, mencantumkan pelanggaran ini sebagai "belum diverifikasi" lantaran sangat sulit untuk melakukan verifikasinya.
"Hal ini disebabkan kombinasi kendala bahasa (ada Google translate, tapi itu terbatas), asal pelanggaran (nama domain situs sering tidak cocok dengan nama layanan) dan kurangnya pemahaman umum tentang bagaimana beberapa situs yang terlibat dalam pelanggaran ini digunakan oleh penduduk lokal," kata Troy Hunt.
6] Adult Friend Finder – 2016
Adult Friend Finder merupakan bagian dari induk perusahaan FriendFinder yang dikenal memiliki situs mencari konten dewasa. Pelanggaran ini dinilai sangat sensitif bagi penggunanya karena mengingat layanan yang ditawarkan.
Jaringan FriendFinder, antara lain Penthouse.com, Cams.com, iCams.com, dan Stripshow.com juga ikut terdampak dengan pelanggaran Adult Friend Finder pada Oktober 2016.
Data yang dicuri adalah akun yang terdaftar selama 20 tahun, termasuk akun yang dihapus, dikutip dari BBC. Basis data yang bocor mencakup nama, alamat email dan kata sandi. Algoritma hashing yang digunakan SHA-1 pada kata sandi dianggap lemah.
Diperkirakan 99 persen dari mereka telah di-crack pada saat LeakedSource.com mempublikasikan analisis kumpulan data pada 14 November 2016. Penyebab kebocoran data adalah kerentanan Local File Inclusion (LFI) yang diekspolitasi oleh peretas.
7] Yahoo – 2016
Yahoo baru mengumumkan kebocoran data itu dua tahun setelah peretasan. Pelanggaran itu terjadi pada 2014 dan dilakukan oleh aktor yang disponsori oleh negara. Data yang terdampak antara lain nama asli, alamat email, tanggal lahir, dan nomor telepon dari 500 juta pengguna. Yahoo mengklaim bahwa sebagian besar kata sandi yang terdampak dilindungi hash.
Pada Desember 2016, Yahoo mengungkapkan pelanggaran lain pada 2013 dari penyerang berbeda dengan data yang terekspose, seperti nama, tanggal lahir, alamat email dan kata sandi, serta pertanyaan dan jawaban keamanan dari 1 miliar akun pengguna. Yahoo merevisi perkiraan itu pada Oktober 2017 yakni ada 3 miliar akun pengguna yang terdampak. Pengguna pun diminta mengatur ulang kata sandi
Waktu itu, Yahoo sedang dalam proses diakuisisi oleh Verizon. Perusahaan pun akhirnya membayar denda US$4,48 miliar. Pelanggaran itu pun membuat Yahoo harus merogoh kocek US$350 juta dari pendapatan perusahaan untuk membayar denda.
8] LinkedIn – 2016
Pada 2012, LinkedIn, jejaring sosial untuk para profesional bisnis, mengalami pencurian data pengguna. Insidennya baru terungkap empat tahun setelahnya pada 2016. LinkedIn mengatakan ada 6,5 juta kata sandi yang tidak terkait hash SHA-1 telah dicuri oleh peretas dan diunggah ke forum peretas Rusia.
Namun, penjual data LinkedIn juga peretas MySpace menawarkan alamat email dan kata sandi dari sekitar 165 juta pengguna LinkedIn dengan harga 5 bitcoin (sekitar US$2.000 saat itu). LinkedIn mengakui bahwa mereka telah mengetahui pelanggaran itu dan telah mengatur ulang kata sandi akun yang terpengaruh.
Menurut Trend Micro, basis data curian itu berisi 167 juta akun disertai 117 kata sandi yang ter-crack dan bukan hanya 6,5 juta seperti yang dilaporkan sebelumnya. Contoh basis data yang dibagikan menunjukkan basis data antara lain alamat email, kata sandi, dan kata sandi yang diretas.
9] Equifax – 2017
Salah satu biro kredit terbesar di Amerika Serikat, Equifax, mengatakan pada 7 September 2017 bahwa kerentanan aplikasi di situs webnya menyebabkan pelanggaran data dan setidaknya menyebabkan 147,9 juta konsumen terdampak.
Pelanggaran terjadi pada 29 Juli, tetapi perusahaan mengatakan kemungkinan peretas baru mulai mengeksploitasi medio Mei. Data yang terdampak termasuk nomor Jaminan Sosial, tanggal lahir, alamat, dan dalam beberapa kasus nomor SIM dari 143 juta konsumen, dan 209.000 konsumen data kartu kredit. Pada temuan Oktober 2017, jumlah pelanggan terdampak sekitar 147,9 juta orang.
Equifax dinyatakan bersalah karena sejumlah penyimpangan keamanan dan responsnya, terutama adanya kerentanan aplikasi yang tidak ditambal membuat peretas mengeksploitasinya. Equifax juga lamban dalam melaporkan pelanggarannya.
Equifax mendapat denda US$ 575 juta dari Komisi Perdagangan Federal serta dari Kantor Komisaris Informasi Inggris sebesar US$659.000. Equifax juga setuju membayar total US$38 juta untuk menyelesaikan tuntutan hukum atas pelanggaran tersebut serta membayar US$1,38 miliar untuk gugatan class action, tulis BankInfoSecurity.
10] MyFitnessPal – 2018
Aplikasi kebugaran milik UnderArmor, MyFitnessPal, disusupi peretas pada Februari 2018. Peretas mencuri nama pengguna, alamat email, alamat IP, kata sandi SHA-1 dan hash bcrypt dari sekitar 150 juta pelanggan.
Setahun setelah itu barulah peretas menjualnya bersamaan dengan penjualan data yang dicuri dari Dubsmash dan 14 situs web lainnya. Dikutip dari Fortune, harga untuk data yang ditawarkan oleh peretas setidaknya kurang dari US$20.000 dalam bitcoin.
MyFitnessPal mengakui pelanggaran data itu dan meminta pelanggannya mengubah kata sandi tetapi perusahaan tidak memberitahu berapa banyak akun yang terpengaruh atau bagaimana penyerang memperoleh akses ke data itu.
11] Dubsmash – 2018
Peretas yang menjual data MyFitnessPal ialah pelaku yang sama dengan Dubsmash, aplikasi layanan video berbasis di New York. Data yang dijual peretas di pasar web gelap Dream Market itu mencakup 162 juta data pelanggan, terdiri atas alamat email, nama pengguna, kata sandi yang di-hash, dan data pribadi lainnya seperti tanggal lahir.
Penjual datanya diduga berasal dar luar Amerika Serikat. Dubsmash pun menyewa firma hukum Lewis Brosbois untuk menyelidiki penjualan online, tulis The Register.
Dubsmash mengakui pelanggaran dan penjualan telah terjadi dan menyarankan untuk mengubah kata sandi. Sama halnya dengan MyFitnessPal, perusahaan tidak mengatakan bagaimana penyerang masuk atau mengonfirmasi berapa banyak pengguna yang terpengaruh.
12] Marriot International – 2018
Jaringan hotel, Marriot International, mengumumkan pada November 2018 bahwa peretas telah mencuri data sekitar 500 juta pelanggannya. Pelanggaran terjadi pada sistem yang mendukung merek hotel Starwood mulai tahun 2014.
Pada 2016, peretas menyusup sistem jaringan perusahaan dan bersamaan saat diakuisisi Marriott. Peretas tidak disadari masih bertahan hingga September 2018.
Para peretas mencuri data informasi kontak, nomor paspor, nomor Starwood Preffered Guest (tamu), informasi perjalanan, dan informasi pribadi lainnya. Sementara, nomor kartu kredit dan tanggal kadaluwarsa lebih dari 100 juta pelanggan telah dicuri, tetapi Marriott tidak yakin apakah penyerang dapat mendekripsi nomor kartu kredit tersebut.
Menurut New York Times, penyerang itu berkaitan dengan kelompok intelijen China yang berusaha mengumpulkan data tentang warga Amerika Serikat. Lantaran pada saat itu pemerintahan Donald Trump merencanakan tindakan yang menargetkan kebijakan perdagangan, siber, dan ekonomi China. Juru bicara Kementerian Luar Negeri China, Geng Shuang, kala itu membantah tudingan peretasan Marriott.
13] Canva – 2019
Situs web yang menyediakan desain grafis asal Austalia, Canva, mengalami serangan yang membuat tereksposnya data 139 juta penggunanya seperti alamat email, nama pengguna, nama, kota kediaman, serta kata sandi yang di-salted dan di-hash bcrypt (bagi pengguna yang tidak menggunakan login sosial sekitar 61 juta). Insiden itu terjadi pada Mei 2019.
Canva mengklaim peretas tidak berhasil mencuri file kartu kredit dan data pembayaran. Peretas Gnosticplayers mengaku kepada ZDNet terkait insiden itu dan mengatakan bahwa Canva telah mendeteksi serangan mereka dan menutup server datanya.
Penyerang juga mengklaim telah mendapatkan token login OAuth untuk pengguna yang login melalui Google. Canva pun menghimbau pengguna mengubah kata sandi dan menyetel ulang token OAuth.
14] Zynga – 2019
Pernah menjadi raksasa dunia game di situs web Facebook, pencipta Farmville Zynga menjadi salah satu pemain terbesar di dunia game seluler dengan jutaan pemain di seluruh dunia.
Pada September 2019, seorang peretas Pakistan mengaku sebagai Gnosticplayers, mengklaim meretas database perusahaan yang mencakup pemain Draw Something dan Words with Friends.
Peretas mengklaim memperoleh akses ke 218 juta akun terdaftar di game tersebut. Zynga pun mengkonfirmasi pelanggaran data itu, tetapi tidak mengungkapkan jumlah pengguna terpengaruh.
Data yang dicuri antara lain alamat email, kata sandi di-hash SHA-1 dan di-salted, nomor telepon, dan ID pengguna untuk akun Facebook dan Zynga.
The Hacker News menulis pelanggaran data memengaruhi semua pemain game Android dan iOS yang menginstal dan mendaftar untuk game Words with Friends sebelum 2 September 2019.
15] Sina Weibo – 2020
Sina Weibo merupakan aplikasi jejaring sosial sejenis Twitter di China. Pada Maret 2020, 538 juta data pengguna Sina Weibo dilaporkan bocor. Data itu terdiri atas nama asli, nama pengguna situs, jenis kelamin, lokasi, dan untuk 172 juta pengguna nomor telepon telah diposting dijual di pasar web gelap. Kata sandi tidak disertakan dalam penjualan data itu. Data pun hanya dihargai dengan US$ 250.
Weibo mengakui data yang dijual itu berasal dari perusahaan berdasarkan pencocokan kontak dengan API buku alamatnya, tapi tak menjelaskan bagaimana mereka bisa dibobol. Weibo mengatakan kata sandi tidak berbentuk teks biasa jadi pengguna tidak perlu khawatir.
Weibo pun memmberitahu pihak berwenang terkait insiden, seperti Adminstrasi Keamanan Siber China dari Kementerian Perindustrian dan Teknologi Informasi China.[]
Redaktur: Andi Nugroho
Share:
