Cyberthreat.id - Tim riset dan ancaman Microsoft memindai semua akun pengguna Microsoft dan menemukan 44 juta pengguna menggunakan nama pengguna dan password yang sudah bocor secara online. Kebocoran data berasal dari kebocoran-kebocoran yang terjadi di pelanggaran data lainnya.

Pemindaian berlangsung antara Januari dan Maret 2019. Microsoft mengatakan telah memindai akun pengguna menggunakan database lebih dari 3 miliar kredensial bocor, yang diperoleh dari berbagai sumber seperti dicuri para hacker dengan menggunakan pihak ketiga atau database publik.

Pemindaian secara efektif membantu Microsoft mengidentifikasi pengguna yang menggunakan kembali nama pengguna dan password yang sama di berbagai akun online.

Total 44 juta akun yang bocor termasuk Akun Layanan Microsoft (akun pengguna reguler), tetapi juga akun Azure AD (layanan Cloud milik Microsoft).

"Untuk kredensial bocor yang kami temukan kecocokan, kami memaksakan pengaturan ulang password. Tidak ada tindakan tambahan yang diperlukan di sisi konsumen," kata Microsoft dilansir ZD Net, Jumat (6 Desember 2019).

"Di sisi perusahaan, Microsoft akan meningkatkan risiko pengguna dan memperingatkan administrator sehingga reset kredensial dilakukan," tambahnya.

Microsoft selama ini selalu menerapkan dan menekankan solusi otentikasi multi-faktor (MFA). Pertengahan tahun 2019 perusahaan mengatakan bahwa langkah keamanan MFA di akun Microsoft memungkinkan mereka memblokir 99,9 persen dari dimua percobaan serangan.

Microsoft menyatakan mereka punya statistik terkait hal ini sehingga kebocoran data yang terjadi di luar, seperti dari pihak ketiga, datanya tidak dimiliki oleh perusahaan.

Serangan Reply

Kondisi ini menjadikan banyak organisasi/perusahaan di seluruh dunia dalam bahaya. Yang paling berbahaya adalah kebocoran yang terjadi bisa digunakan kembali untuk membongkar akun-akun lainnya.

Data atau password yang bocor itu juga telah diperdagangkan di Dark Web. Microsoft Security Intelligence Report melihat ancaman serius berbasis identitas dan memperingatkan tentang risiko ini sebagai peluang terjadinya serangan 'reply'.

"Begitu seorang aktor jahat mendapatkan kredensial, mereka dapat mencoba untuk melakukan kembali serangan pelanggaran (reply). Dalam serangan ini, aktor jahat akan mencoba kredensial yang sama pada akun layanan yang berbeda untuk melihat apakah ada kecocokan," tulis Forbes, Jumat (6 Desember 2019).

Microsoft selalu memperingatkan agar tidak menggunakan password yang lemah atau mudah ditebak ketika menyiapkan akun, tetapi peringatan ini tidak mencakup skenario penggunaan kembali password.

Ini mungkin karena Microsoft menggunakan password yang rumit untuk bisa melewati pemeriksaan/scanning, tetapi Microsoft tidak memiliki cara untuk mengetahui apakah pengguna telah menggunakan kembali password itu di tempat lain.

Peretas dapat mengambil password yang bocor dan menggunakannya dalam upaya untuk mendapatkan akses ke akun pengguna lainnya - seperti Microsoft, Google, Facebook, Twitter, hingga akun-akun profesional.

Sebuah studi penelitian akademik tahun 2018 menyatakan, dari 28,8 juta akun pengguna ditemukan bahwa penggunaan kembali password dan modifikasi kecil pada password asli sudah sangat lazim. Angkanya mencapai 52 persen dari pengguna, sementara 30 persen dari password yang dimodifikasi dan semua password yang digunakan kembali dapat dipecahkan hanya dalam 10 tebakan.