Cyberthreat.id - Seorang pria di Inggris mengakui telah mencoba memeras Apple dengan mengklaim dia memiliki akses ke jutaan akun iCloud. Kerem Albayrak, berusia 22 tahun dari London utara, mengancam akan menghapus 319 juta akun kecuali Apple memberinya kartu hadiah iTunes senilai 100 ribu USD (Rp 1,4 miliar).

Meski demikian, sebuah penyelidikan menemukan bahwa Albayrak tidak membahayakan sistem Apple. Dia sebenarnya dijatuhi hukuman penjara dua tahun, tapi dikenai suspensi sehingga diperintahkan untuk melakukan 300 jam kerja tanpa dibayar namun lepas dari jerat penjara.

Maret 2017, Albayrak mengirim email (blackmailed) ke tim keamanan Apple sambil mengklaim telah melanggar jutaan akun iCloud. Dia kemudian memposting video di YouTube yang menunjukkan keberhasilannya membobol dua akun.

Dia mengancam akan menjual informasi akun, membuang database-nya secara online, dan mengatur ulang (factory reset) akun (termasuk perangkat iPhone dan iPad) jika Apple tidak membayar permintaan kartu hadiah iTunes-nya.

Albayrak juga mengatakan bakal menerima mata uang kripto senilai 75 ribu USD, tetapi kemudian meningkatkan nominalnya menjadi 100 ribu USD. Albayrak akhirnya ditangkap di rumahnya di London utara dua pekan setelah mengirim ancamannya.

Credential Stuffing

Apple memang benar-benar menyelidiki klaim Albayrak, tetapi tidak dapat mendapatkan bukti bahwa sistemnya telah dikompromikan atau ditembus. Artinya, pelaku tidak pernah membobol infrastruktur iCloud.

Badan Kejahatan Nasional (NCA) Inggris menemukan bahwa Albayrak telah mengumpulkan alamat email dan password dari layanan lain, yang sebelumnya telah terungkap dalam pelanggaran data.

Dia kemudian mencoba peruntungannya, melihat apakah ada yang menggunakan nama pengguna dan password yang sama untuk akun iCloud mereka.

Jenis serangan ini dikenal sebagai isian kredensial (credential stuffing) yang dapat diotomatiskan untuk mempercepat proses. Credential stuffing dikenal sebagai istilah baru yang dianggap sebagai aktivitas kriminal yang bertujuan mendapatkan/membeli kredensial banyak orang di Dark Web.

Kredensial yang didapatkan lazimnya username dan password kemudian menggunakan Botnet untuk memvalidasi akun-akun yang bocor tersebut. Aktivitas ini dilakukan untuk mengambil alih akun korban lalu melakukan penipuan berikutnya dengan membobol akun lainnya.

Kepada penyidik Albayrak mengatakan ia melakukan tindakan tersebut hanya demi ketenaran semata.

"Ketika Anda memiliki kekuatan di internet, itu seperti ketenaran dan semua orang menghormati Anda," ujarnya dilansir BBC, Jumat (27 Desember 2019).

Selain hukuman 300 jam kerja yang tidak dibayar, Albayrak juga diberikan jam malam elektronik selama enam bulan.

"Albayrak percaya bahwa dia dapat lolos dari keadilan setelah menyusup ke dua akun dan mencoba memeras sebuah perusahaan multinasional besar (Apple)," kata petugas investigasi senior NCA, Anna Smith.