Ditemukan Sebanyak 339 Ribu Akun Indonesia Dibagikan Secara Gratis
Kebocoran data adalah masalah serius yang dapat disalahgunakan oleh penyerang dengan berbagai macam dampak kerugian. Saat ini secara aktif memantau forum dan group underground untuk mendeteksi dan mencegah kebocoran data, dari hasil pantauan pada salah satu telegram group ada seorang hacker yang membagikan combo list secara gratis menargetkan banyak website Indonesia.
Combo list “email:pass” merupakan file teks yang berisi kumpulan daftar email dan password, ini dikumpulkan oleh penyerang atas beberapa insiden kebocoran data dan lainnya misal didapatkan dari stealer malware, kemudian dijual atau dibocorkan. Penyerang dapat memanfaatkan kredensial dari combo list untuk melakukan credential stuffing menggunakan otomatisasi BOT untuk mendapatkan akses yang tidak sah. Gambar dibawah ini adalah contoh kredensial yang dibagikan :
Penyerang hanya mengumpulkan Indonesia Top Level Domain (TLD) seperti go.id, ac.id, sch.id dan co.id dengan rincian :
- 77 Domain Pemerintah.
- 170 Domain Universitas.
- 28 Domain Sekolah.
- 2975 domain co.id terdiri dari perusahaan BUMN, Swasta, dll.
Dari hasil analisis yang ditemukan ada beberapa macam password yang sering digunakan oleh orang Indonesia diantaranya :
- Nama Diri Sendiri
- Nama Kota (contoh: jakarta02, bogor, cibinong, kotabekasi, dll)
- Nama Band (contoh: sheilaon7, peterpan, adaband, dll)
- Nama Klub Sepak Bola (contoh: persija1, aremaindonesia, liverpool, dll)
- Tanggal Lahir (contoh: 03juni09, 03juni1990, 4april2010, 04021998, dll)
- Nomor Telepon (contoh: 081174827124, 08562817192, dll)
- Nama Sekolah (contoh: sma3jakarta, smkn1jakarta, smkn1cibinong, dll)
- Karakter Berulang (contoh: 55555, bbbbbb, mmmmm, dll)
- Pola Keyboard (contoh: asdfghjkl, zxcvbnm, !Qaz@wsx, dll)
Top 125 Password
Kemudian mencoba untuk mengumpulkan top 125 password dari combo list tersebut :
peeweegask
superjunio
allahuakba
dick
liverpool
mamapapa
oktober
pelangi
qwerty123
blackberry
malaikat
yamaha
555555
agustus
killingmei
komputer
pointblank
bismilah
kalimantan
sayangmama
januari
banjarmasi
semangat
0123456789
123456789a
indonesiar
juventus
samarinda
persib
sukses
surabaya
0000000000
sagitarius
semarang
222222
123123123
makassar
barcelona
deathmetal
september
palembang
apaajabole
intermilan
jancok
merdeka
cintasejat
pantek
999999
zxcvbnm,./
1122334455
888888
asdfghjkl
matahari
7777777
indonesia1
sampoerna
123qwe
abc123
iloveyou
sahabat
0987654321
1111111111
zxcvbnm
1q2w3e4r5t
999999999
desember
katasandi
000000
121212
112233
123456a
justinbieb
doraemon
muhammad
akucintaka
naruto
123123
987654321
666666
terserah
bangsat
kucing
bandung
654321
bajingan
sayangkamu
sayangku
cintaku
bintang
kontol
cantik
anjing
111111
blink182
ganteng
qwertyuiop
akusayangk
1234567891
bismillah
jakarta
myspace
qwerty
12345678
rahasia
sayang
1234567
indonesia
00dada
isme
)4ever
50host
08
02abc
45nit
1234567890
123456789
123456
)ryan
59trick
30media
66bob
10pace
59mile
19weed
24crowDari hasil temuan ini menemukan fakta bahwa banyak orang Indonesia masih menggunakan password yang lemah dan mudah ditebak. Jika pengguna menggunakan password yang sama untuk banyak website penyerang dapat beralih ke akun lain yang lebih penting.
Tips Mengamankan Akun Pribadi
Berikut ini adalah tips untuk mengamankan akun dari akses yang tidak sah :
- Secara berkala menganti password dan menggunakan password yang kuat tidak mudah ditebak. Password yang kuat terdiri dari variasi huruf, angka, dan karakter lainnya. Semakin banyak variasi, semakin tinggi kekuatannya, minimal panjang password 8 karakter terdiri dari huruf, angka, dan simbol.
- Menggunakan password yang berbeda-beda untuk setiap akun penting.
- Menggunakan password manager membantu untuk membuat dan menghafal password yang kuat dan berbeda untuk setiap website.
- Mengaktifkan multi factor authentication untuk mencegah akses masuk yang tidak diinginkan, akan tetapi multi factor authentication masih belum terlalu aman karena ada banyak cara penyerang dapat melewati multi factor authentication seperti mendapatkan kode OTP dengan melakukan intercept SMS masuk dari SS7, mengirimkan banyak push notification sehingga korban memproses masuk untuk menghentikan banyak notifikasi, mengirimkan halaman phishing ke korban dengan melakukan MITM kode OTP setelah korban memasukan kode OTP penyerang dapat mengambil cookie untuk melakukan autentikasi.
- Menggunakan Universal 2nd Factor (U2F) adalah standar otentikasi terbuka yang memungkinkan pengguna secara aman mengakses sejumlah layanan online dengan satu kunci keamanan tunggal secara instan dan tanpa driver atau software client yang diperlukan. U2F akan mengubah proses login menggunakan biometrik fingerprint, ini jauh lebih aman dari pada menggunakan multi factor authentication.
