Cyberthreat.id - Kasus peretasan data yang baru-baru ini menimpa Tokopedia, juga yang terjadi pada Bukalapak tahun lalu, juga pernah terjadi pada sejumlah perusahaan besar di dunia. Bedanya, di luar negeri, perusahaan yang lalai menjaga keamanan data pribadi penggunanya dikenakan denda karena dianggap lalai menjaga data konsumen.

Dilansir dari CSO Online, setidaknya ada 13 kasus peretasan data yang jika dijumlahkan melibatkan miliaran data pribadi penduduk bumi.

Berikut adalah daftar 10 kasus peretasan data terbesar dalam sejarah, berapa banyak pengguna yang terdampak,  siapa yang bertanggung jawab, dan bagaimana perusahaan merespons.

Peringkat disusun berdasarkan besarnya jumlah orang yang terdampak.

1. Yahoo

Tanggal: 2013-2014
Dampak: 3 miliar akun pengguna

Yahoo mengumumkan pada September 2016 bahwa pada tahun 2014 telah menjadi korban peretasan data terbesar yang pernah ada. Para penyerang, yang oleh perusahaan diyakini sebagai "hacker yang disponsori negara", meretas data pengguna Yahoo berupa nama asli, alamat email, tanggal lahir dan nomor telepon dari 500 juta pengguna. Yahoo mengklaim bahwa sebagian besar kata sandi yang dicuri dilindungi dengan hash.

Pada Desember 2016, Yahoo mengungkapkan pelanggaran lain dari tahun 2013 oleh penyerang berbeda yang membahayakan nama, tanggal lahir, alamat email dan kata sandi, serta pertanyaan dan jawaban keamanan 1 miliar akun pengguna. Yahoo merevisi perkiraan itu pada Oktober 2017 untuk memasukkan semua 3 miliar akun penggunanya.

Saat pengumuman peretasan data itu, Yahoo sedang dalam proses akuisisi oleh Verizon, yang akhirnya membayar US$4,48 miliar untuk bisnis internet inti Yahoo. Pelanggaran itu menghancurkan nilai perusahaan.

Akibat peretasan data itu, Yahoo digugat class action karena dianggap lalai melindungi data konsumen. Pada Oktober 2019, Yahoo mengumumkan mengalokasikan dana Rp1,65 triliun untuk ganti rugi kepada pengguna yang terdampak.  Yahoo menawarkan uang pengganti hingga US$358 per akun atau setara Rp 5 juta (asumsi US$1 = Rp 14.000) kepada pengguna yahoo yang emailnya diretas  hacker.

2. Sina Weibo

Tanggal: Maret 2020
Dampak: 538 juta akun

Dengan lebih dari 500 juta pengguna, Sina Weibo adalah jawaban China untuk Twitter. Namun, pada bulan Maret 2020 dilaporkan bahwa nama asli, nama pengguna situs, jenis kelamin, lokasi, dan - untuk 172 juta pengguna - nomor telepon telah diposting untuk dijual di pasar dark web. Kata sandi tidak dimasukkan, yang dapat menunjukkan mengapa data tersedia hanya dengan ¥ 1.799 ($ 250).

Weibo mengakui bahwa data yang dijual adalah dari perusahaannya, tetapi mengklaim bahwa data tersebut diperoleh dengan mencocokkan kontak dengan API buku alamatnya.

Weibo juga mengatakan bahwa karena tidak menyimpan kata sandi dalam plaintext, pengguna seharusnya tidak perlu khawatir. Akan tetapi, ini tidak sesuai dengan beberapa informasi yang ditawarkan seperti data lokasi, tidak tersedia melalui API.

Raksasa media sosial itu mengatakan telah memberi tahu pihak berwenang tentang insiden itu dan Administrasi Keamanan Dunia Maya dari Kementerian Perindustrian dan Teknologi Informasi China mengatakan sedang menyelidikinya.

 

3. Hotel Marriott International

Tanggal: 2014-18
Dampak: 500 juta pelanggan

Marriott International mengumumkan pada November 2018 bahwa penyerang telah mencuri data sekitar 500 juta pelanggan. Peretasan awalnya terjadi pada sistem yang mendukung merek hotel Starwood mulai tahun 2014. Para penyerang tetap berada dalam sistem setelah Marriott mengakuisisi Starwood pada 2016 dan tidak ditemukan hingga September 2018.

Penyerang dapat mengambil beberapa kombinasi informasi kontak, nomor paspor, nomor Starwood Preferred Guest, informasi perjalanan, dan informasi pribadi lainnya. Nomor kartu kredit dan tanggal kedaluwarsa lebih dari 100 juta pelanggan diyakini dicuri, tetapi Marriott tidak yakin apakah penyerang mampu mendekripsi nomor kartu kredit.

Peretasan data  itu akhirnya dikaitkan dengan kelompok intelijen Cina yang berusaha mengumpulkan data tentang warga AS, menurut sebuah artikel New York Times.

4. Adult Friend Finder

Tanggal: Oktober 2016
Dampak : 412,2 juta akun

Peretasan data ini sangat sensitif bagi pemilik akun lantaran bersifat pribadi. Jaringan FriendFinder termasuk situs dewasa Penthouse[.]com, Cams[.]com, iCams[.]com dan Stripshow[.]com. Data yang dicuri berisi database pengguna selama 20 tahun termasuk nama, alamat email, dan kata sandi.

Data penggunanya bisa dicuri setelah hacker bisa membuka enkripsi sandi yang dilindungi dengan algoritma hashing SHA-1. Diperkirakan 99 persen pasword pengguna telah berhasil dibuka saat LeakedSource.com menerbitkan analisis set data pada 14 November 2016.

5. MySpace

Tanggal: 2013
Dampak: 360 juta akun pengguna

Situs media sosial MySpace menjadi berita utama pada tahun 2016 setelah 360 juta akun pengguna bocor ke LeakedSource (basis data yang dicari dari akun curian) dan disiapkan untuk dijual di web pasar gelap The Real Deal dengan harga  6 Bbitcoin (sekitar US$ 3.000 saat itu).

Menurut perusahaan, data yang dikloning termasuk alamat email, kata sandi, dan nama pengguna untuk "sebagian akun yang dibuat sebelum 11 Juni 2013, pada platform lama Myspace."

Menurut Troy Hunt dari HaveIBeenPwned, kata sandi disimpan sebagai hash SHA-1 dari 10 karakter pertama kata sandi yang dikonversi menjadi huruf kecil.

6. NetEase

Tanggal: Oktober 2015
Dampak: 235 juta akun pengguna

NetEase adalah penyedia layanan kotak surat seperti 163.com dan 126.com. Dilaporkan dalam alamat email dan kata sandi plaintext dari 235 juta akun dari pelanggan NetEase yang dijual oleh vendor di dark web yang dikenal sebagai DoubleFlag. Vendor yang sama juga menjual informasi yang diambil dari raksasa Cina lainnya seperti Tencent's QQ.com, Sina Corporation dan Sohu, Inc.

NetEase dilaporkan telah membantah adanya pelanggaran. HaveIBeenPwned mendaftar pelanggaran ini sebagai "tidak diverifikasi."

7. Zynga

Tanggal: September 2019
Dampak: 218 juta akun pengguna

Setelah menjadi raksasa di dunia permainan (game) Facebook, pencipta Farmville Zynga masih menjadi salah satu pemain terbesar game seluler dengan jutaan pemain di seluruh dunia.

Pada September 2019, seorang peretas Pakistan yang menggunakan nama Gnosticplayers mengklaim telah meretas ke dalam basis data Zynga yang menyimpan informasi data penggunanya.  Ada 218 juta akun yang terdaftar di sana.

Zynga kemudian mengonfirmasi bahwa alamat email, kata sandi hash SHA-1 asin, nomor telepon, dan ID pengguna untuk akun Facebook dan Zynga dicuri.

8. LinkedIn
Tanggal: 2012 (dan 2016)
Dampak: 165 juta akun pengguna

Sebagai jejaring sosial utama bagi para profesional bisnis, LinkedIn telah menjadi proposisi yang menarik bagi para penyerang yang ingin melakukan serangan rekayasa sosial. Namun, LinkedIn juga menjadi korban kebocoran data pengguna di masa lalu.

Pada 2012 perusahaan mengumumkan bahwa 6,5 juta akun pengguna yang tidak terkait kata sandi (dilindungi dengan hash SHA-1) dicuri oleh penyerang dan diposting ke forum hacker Rusia. Namun, sebelum 2016 seluruh insiden terungkap.

Peretas yang sama dengan yang menjual data MySpace ditemukan menawarkan alamat email dan kata sandi dari sekitar 165 juta pengguna LinkedIn hanya dengan 5 bitcoin (sekitar $ 2.000 pada saat itu). LinkedIn mengakui bahwa pihaknya telah mengetahui peretasan tersebut, dan mengatakan telah mengatur ulang kata sandi akun yang terkena dampak.

9. Dubsmash
Tanggal: Desember 2018
Dampak: 162 juta akun pengguna

Pada Desember 2018, database milik layanan pesan video Dubsmash yang berbasis di New York disusupi hacker.  Data yang dikloning berupa 162 juta alamat email, nama pengguna, hash kata sandi PBKDF2, dan data pribadi lainnya seperti tanggal lahir. Semua data itu kemudian ditawarkan di Dream Market pasar web gelap.

Dubsmash mengakui pelanggaran dan penjualan informasi telah terjadi - dan memberikan saran seputar perubahan kata sandi - tetapi gagal  mengatakan bagaimana penyerang masuk atau mengkonfirmasi berapa banyak pengguna yang terdampak.

10. Equifax

Tanggal: 29 Juli 2017
Dampaknya: 147,9 juta konsumen

Equifax, salah satu biro kredit terbesar di AS, mengatakan pada 7 September 2017 bahwa kerentanan aplikasi di salah satu situs web mereka menyebabkan peretasan data yang mengekspos sekitar 147,9 juta konsumen. Kasus itu itu ditemukan pada 29 Juli, tetapi perusahaan mengatakan bahwa  kemungkinan dimulai pada pertengahan Mei 2017.

Data pribadi pelanggan yang berhasil disedot termasuk nomor Jaminan Sosial, tanggal lahir, alamat, dan dalam beberapa kasus juga terdapat nomor SIM milik 143 juta konsumen, sebanyak 209 ribu di antaranya mencakup data kartu kredit. Angka itu dinaikkan menjadi 147,9 juta pada Oktober 2017.

Equifax disalahkan karena sejumlah kesalahan keamanan.  Yang paling utama adalah kerentanan aplikasi yang tidak ditambal, sehingga peretas dapat menerobos masuk untuk mencuri data pelanggan. Equifax juga lambat melaporkan peretasan itu kepada pengguna yang terdampak.

11. eBay

Tanggal: Mei 2014
Dampak: 145 juta pengguna

eBay melaporkan bahwa serangan memunculkan seluruh daftar akun 145 juta pengguna pada Mei 2014, termasuk nama, alamat, tanggal lahir, dan kata sandi terenkripsi.

Raksasa lelang online itu mengatakan peretas menggunakan kredensial tiga karyawan perusahaan untuk mengakses jaringannya dan memiliki akses lengkap selama 229 hari — lebih dari cukup waktu untuk membobol basis data pengguna.

Perusahaan meminta pelanggan untuk mengubah kata sandi mereka. Informasi keuangan, seperti nomor kartu kredit, disimpan secara terpisah dan tidak berhasil dibobol. Perusahaan itu dikritik karena kurangnya komunikasi dengan para penggunanya dan buruknya proses pembaruan kata sandi.

12. Canva
Tanggal: Mei 2019
Dampak: 137 juta akun pengguna

Pada Mei 2019 situs web desain grafis online, Canva, mengalami serangan yang mengekspos alamat email, nama pengguna, kota tempat tinggal, dan  kata sandi yang dilindungi dengan bcript milik 137 juta pengguna. Sekitar 61 juta tidak menggunakan tautan login dari pihak ketiga seperti akun Facebook dan Google.

Canva mengatakan para peretas berhasil melihat, tetapi tidak mencuri, file-file terkait informasi kartu kredit data pembayaran.

Tersangka pelakunya (yang dikenal sebagai Gnosticplayers) menghubungi ZDNet tentang insiden tersebut, dengan mengatakan bahwa Canva telah mendeteksi serangan mereka dan server yang datanya dibobol. Penyerang juga mengklaim telah memperoleh token masuk OAuth untuk pengguna yang masuk  melalui akun Google.

Perusahaan mengkonfirmasi insiden tersebut dan kemudian memberi tahu pengguna, meminta mereka  mengubah kata sandi, dan mengatur ulang token OAuth.

Belakangan, Canva mengunggah bahwa hacker telah berhasil membuka pasword sekitar 4 juta pengguna dan dibagikan di forum online. Canva kemudian memutuskan mengganti sendiri password yang belum diganti oleh penggunanya dan selanjutnya mengirim pemberitahuan untuk mencegah dampak lebih jauh.

13. Adobe
Tanggal: Oktober 2013
Dampak: 153 juta catatan pengguna
Denda : US$ 1 juta

Seperti yang dilaporkan pada awal Oktober 2013 oleh blogger keamanan Brian Krebs, Adobe awalnya melaporkan bahwa peretas telah mencuri hampir 3 juta catatan kartu kredit pelanggan terenkripsi, ditambah data login untuk sejumlah akun pengguna.

Akhir Oktober 2013, Adobe menaikkan perkiraan korban dengan memasukkaan ID dan kata sandi terenkripsi untuk 38 juta "pengguna aktif." Krebs melaporkan bahwa file yang diposting beberapa hari sebelumnya "tampaknya mencakup lebih dari 150 juta nama pengguna dan hash pasangan kata sandi yang diambil dari Adobe."

Hasil penyelidikan menunjukkan bahwa peretasan juga mengekspos nama pelanggan, ID, kata sandi, dan informasi kartu debit dan kredit.

Sebuah perjanjian pada Agustus 2015 meminta Adobe untuk membayar US$ 1,1 juta  kepada pelanggan untuk menyelesaikan klaim melanggar Undang-Undang Catatan Pelanggan dan praktik bisnis yang tidak adil. Pada bulan November 2016, jumlah yang dibayarkan kepada pelanggan dilaporkan sebesar US$ 1 juta.[]