Ilustrasi peretas membobol data.
Dunia

10 Kebocoran Data Terbesar dalam Sejarah

  • Kebocoran data ini dapat menimbulkan masalah bagi bisnis maupun individu. Dalam artikel ini, kita akan menjelajahi beberapa pelanggaran data terbesar dalam sejarah dan membahas dampaknya terhadap praktik keamanan siber dan kesadaran publik.

Dunia

Distika Safara Setianda

JAKARTA – Bocornya Pusat Data Nasional (PDN) milik Kementerian Komunikasi dan Informatika (Kominfo) akibat serangan siber ransomware menyebabkan gangguan layanan publik di berbagai instansi.

Kebocoran data akibat serangan ransomware terhadap PDN bukan masalah sepele. Hal ini dapat menjadi pintu masuk menuju bencana nasional di bidang siber. Data yang bocor dapat dimanfaatkan oleh pihak yang berkepentingan, termasuk negara lain, untuk kepentingan mereka sendiri.

Kebocoran data terjadi ketika seseorang yang seharusnya tidak memiliki akses kepada informasi tertentu berhasil memperolehnya. Informasi ini dapat berupa data pribadi maupun catatan keuangan yang dipegang oleh sebuah organisasi.

Kebocoran data ini dapat menimbulkan masalah bagi bisnis maupun individu. Dalam artikel ini, kita akan menjelajahi beberapa pelanggaran data terbesar dalam sejarah dan membahas dampaknya terhadap praktik keamanan siber dan kesadaran publik.

Ilustrasi serangan siber. (Freepik)

Dikutip dari NordVPN, berikut beberapa deretan kebocoran data terbesar dalam sejarah:

1. Yahoo

Pelanggaran keamanan data besar-besaran yang melibatkan Yahoo antara tahun 2013 dan 2016. Lebih dari 3 miliar akun pengguna terpengaruh akibat akses yang tidak sah terhadap data tersebut.

Pada tahun 2016, Yahoo mengungkapkan bahwa 3 miliar akun pengguna telah dibobol dalam serangkaian pelanggaran data antara tahun 2013 dan 2014. Sekelompok peretas Rusia menyusup backdoor, backup yang dicuri, dan cookies akses untuk mengakses basis data Yahoo.

Mereka berhasil mendapatkan informasi sensitif seperti nama, alamat email, nomor telepon, tanggal lahir, password terenkripsi, bahkan beberapa jawaban untuk pertanyaan keamanan.

Awalnya, Yahoo melaporkan bahwa sekitar 1 miliar akun telah dibobol. Namun, setelah Verizon mengakuisisi Yahoo pada tahun 2017, terungkap sekitar 3 miliar akun benar-benar terdampak.

Yahoo tidak hanya merespons dengan lambat tetapi juga gagal mengungkapkan insiden tahun 2014 kepada penggunanya, yang mengakibatkan denda sebesar $35 juta dan total 41 gugatan class action. Hal ini juga memengaruhi kesepakatan dengan Verizon, yang pada akhirnya menyebabkan harga jual turun sebesar $350 juta, menjadi $4,48 miliar.

2. Ekuifaks

Kebocoran data yang melibatkan Equifax pada tahun 2017. Sekitar 148 juta catatan warga AS dan 163 juta catatan secara global terpengaruh akibat akses yang tidak sah.

Pada tahun 2017, Equifax salah satu agen pelaporan kredit terbesar, mengalami serangan dari peretas yang mengakibatkan akses ke informasi pribadi yang sangat sensitif, termasuk nomor Social Security, tanggal lahir, alamat fisik, dan dalam beberapa kasus, nomor SIM.

Peretas memanfaatkan kelemahan pada portal web pihak ketiga, Apache Struts. Meskipun kerentanan ini sudah diketahui dan ditambal, Equifax gagal memperbarui server internalnya, yang memungkinkan penyusup tidak terdeteksi selama 76 hari.

Setelah berhasil masuk ke sistem, peretas dapat dengan mudah berpindah antar server karena kelemahan keamanan jaringan dan jaringan yang tidak dibagi menjadi bagian-bagian terpisah. Equifax juga membiarkan sertifikat Infrastruktur Kunci Publik (PKI) miliknya habis masa berlakunya, sehingga menunda deteksi pergerakan data yang tidak biasa. Selain itu, perusahaan memiliki kebijakan izin yang longgar, sehingga memberikan pengguna akses luas ke informasi sensitif.

Penerapan prinsip hak akses terkecil (prinsip memberikan pengguna akses minimum yang mereka butuhkan untuk melakukan pekerjaan mereka) dan verifikasi pengguna secara teratur dapat mencegah banyak dari masalah-masalah ini.

Pelanggaran data yang mempengaruhi data pribadi 148 juta warga AS ini memicu kemarahan dan pengawasan luas terhadap cara Equifax menangani data konsumen. Publik baru mengetahui pelanggaran ini lebih dari sebulan setelah Equifax menemukannya. Selama waktu tersebut, eksekutif puncak menjual saham mereka, yang menyebabkan tuduhan perdagangan orang dalam.

Equifax menghadapi banyak gugatan hukum, sidang kongres, dan denda regulasi. Mereka menginvestasikan lebih dari $1,4 miliar untuk menangani kerusakan dan meningkatkan langkah-langkah perlindungan data mereka. Pada 2019, Equifax menyelesaikan masalah dengan Federal Trade Commission (FTC) dan otoritas lainnya sebesar $575 juta.

Insiden ini menunjukkan, organisasi keuangan harus memprioritaskan strategi pencegahan pelanggaran data, seperti menerapkan enkripsi yang kuat dan melakukan audit keamanan secara rutin, untuk melindungi informasi sensitif dari akses yang tidak sah.

3. Facebook

Pada tahun 2019, seorang peneliti keamanan di GDI Foundation menemukan server tidak terlindungi yang berisi database dengan informasi lebih dari 530 juta pengguna Facebook. Basis data ini, dapat diakses oleh siapa saja, mencakup nomor telepon dan ID Facebook, lokasi, alamat email, dan detail profil pengguna lainnya.

Sehingga memudahkan untuk menemukan nama pengguna dan data pribadi lainnya. Pada April 2021, data ini telah diposting secara online gratis di forum peretasan.

Meskipun pemilik server tersebut tidak teridentifikasi, basis data tersebut segera ditutup setelah ditemukan. Facebook menduga, data tersebut mungkin telah diambil sebelum mereka menonaktifkan fitur yang memungkinkan pengguna mencari orang lain melalui nomor telepon.

Facebook memilih untuk tidak memberi tahu lebih dari 530 juta pengguna yang terkena dampak, yang datanya telah dibobol sebelum Agustus 2019. Insiden tersebut menimbulkan kekhawatiran dan kritik yang meluas terhadap praktik perlindungan data Facebook.

4. First American Financial Corporation

Pada Mei 2019, First American Financial Corporation, sebuah perusahaan asuransi hak milik real estat terkemuka, mengalami kebocoran data yang signifikan akibat tindakan keamanan yang buruk dan desain situs web yang cacat.

Insiden ini dikategorikan sebagai kebocoran data karena, berbeda dengan pelanggaran data biasa, insiden ini tidak melibatkan peretasan.

Sebaliknya, cacat desain yang dikenal sebagai Insecure Direct Object Reference (IDOR) memungkinkan akses tanpa batas ke informasi pribadi tanpa verifikasi atau autentikasi. Akibatnya, siapa pun yang memiliki tautan ke dokumen-dokumen tersebut bisa melihatnya, dan pengguna dapat dengan mudah mengubah angka di URL untuk mengakses data pelanggan lainnya.

Catatan yang terekspos, yang berasal dari tahun 2003, meliputi dokumen-dokumen sensitif seperti rincian rekening bank, laporan bank, dokumen pembayaran hipotek, tanda terima transfer kawat dengan nomor Jaminan Sosial, dan bahkan SIM.

Paparan ini menimbulkan kekhawatiran tentang keamanan transaksi real estat online dan memicu investigasi regulasi.

Departemen Layanan Keuangan Negara Bagian New York (DFS) mendenda perusahaan tersebut sekitar $1 juta karena melanggar undang-undang keamanan siber dan mengabaikan tanda bahaya. Pelanggaran ini juga menyebabkan gugatan dari individu yang terkena dampak, yang menuduh kelalaian dan kegagalan untuk melindungi data pelanggan yang sensitif.

5. Aadhaar

Pada Januari 2018, terungkap aktor jahat telah menyusup Aadhaar, sistem ID biometrik terbesar di dunia. Pelanggaran ini mengekspos informasi pribadi dan biometrik lebih dari 1,1 miliar warga India. Data yang disusupi termasuk nama, alamat, foto, nomor telepon, email, dan data biometrik sensitif seperti sidik jari dan pemindaian iris mata (sejenis pemindaian mata).

Pelanggaran ini terjadi melalui situs web Indane, sebuah perusahaan utilitas milik negara. Antarmuka pemrograman aplikasi (API) situs web ini, yang tidak memiliki kontrol akses yang memadai, terhubung ke basis data Aadhaar.

Peretas mengeksploitasi kerentanan ini dan menjual akses ke data tersebut dengan harga $7 melalui grup WhatsApp. Meskipun ada peringatan dari peneliti keamanan dan kelompok teknologi, otoritas India baru mengamankan titik akses yang rentan ini pada Maret 2018.

Insiden ini memicu perdebatan intens tentang undang-undang perlindungan data, dengan pengguna menyerukan peraturan yang lebih ketat dan langkah-langkah keamanan siber yang lebih baik untuk mengamankan informasi biometrik yang sensitif.

6. MySpace

Pada Juni 2013, seorang peretas mengakses lebih dari 360 juta akun pengguna di MySpace. Meskipun situs ini telah beralih fokus ke musik dan promosi band, MySpace masih menarik jutaan pengunjung. Data yang dicuri, termasuk nama pengguna situs, alamat email, dan tanggal lahir, diposting untuk dijual di dark web pada tahun 2016.

Sebelum tahun 2013, MySpace menggunakan algoritma hash aman (SHA-1) untuk mengenkripsi kata sandi pengguna—metode yang mengubah kata sandi menjadi serangkaian karakter dengan panjang tetap.

Karena panjangnya tetap, kata sandi tersebut mudah diretas. Sebaliknya, protokol autentikasi kata sandi modern menggunakan algoritma salted hash, yang menambahkan serangkaian karakter acak ke akhir setiap enkripsi untuk meningkatkan keamanan.

Meskipun MySpace tidak lagi menjadi kekuatan besar seperti dulu, pelanggaran ini mempengaruhi sekitar 360 juta akun, menimbulkan kekhawatiran besar di kalangan pengguna. Data yang dicuri bocor ke LeakedSource.com dan dijual di dark web dengan harga enam bitcoin (sekitar $3,000 pada saat itu).

Untungnya, MySpace mengkonfirmasi bahwa semua data yang dicuri berasal dari sebelum tahun 2013, ketika perusahaan memperbarui langkah-langkah keamanannya. MySpace membatalkan semua kata sandi yang dicuri dan memberitahukan kepada pengguna yang terkena dampak tentang pelanggaran ini, mendorong mereka untuk mereset kata sandi ketika mereka kembali ke situs.

7. LinkedIn

Pada April 2021, peretas melakukan pengikisan data besar-besaran di LinkedIn, yang mengakibatkan informasi lebih dari 700 juta pengguna terbuka—lebih dari 93% dari basis pengguna LinkedIn pada saat itu.

Meskipun sebagian besar data yang diambil tersedia secara publik, tindakan tersebut melanggar persyaratan layanan LinkedIn karena melibatkan eksploitasi API situs tersebut. Data yang terbuka termasuk nama lengkap, nomor telepon, alamat email, nama pengguna, catatan geolokasi, jenis kelamin, dan detail akun media sosial yang terhubung.

Peretas yang dikenal sebagai “God User” awalnya merilis dataset 500 juta pengguna dan kemudian mengklaim memiliki total 700 juta rekaman untuk dijual. Informasi ini diposting di forum dark web pada Juni 2021.

LinkedIn menyatakan bahwa tidak ada data pribadi sensitif yang terbuka dan mengategorikan insiden ini sebagai pelanggaran syarat layanan daripada pelanggaran data. Namun, kebocoran data ini menimbulkan risiko keamanan dan privasi yang signifikan.

Setelah kebocoran tersebut, peretas kecil mencoba menjual data LinkedIn di forum publik, dengan salah satu pengguna menawarkan informasi tersebut seharga $7,000 dalam Bitcoin. National Cyber Security Centre (NCSC) Inggris memperingatkan pengguna LinkedIn bahwa data pengguna yang terperinci dapat mengarah pada serangan rekayasa sosial yang meyakinkan.

8. Friend Finder Networks

Pada November 2016, FriendFinder Networks, sebuah perusahaan hiburan dewasa yang populer, mengalami pelanggaran data besar-besaran. Insiden ini mempengaruhi enam basis data utamanya, termasuk anak perusahaan AdultFriendFinder dan Penthouse.

Pelanggaran ini melibatkan data selama lebih dari 20 tahun dan mengekspos informasi sensitif dari sekitar 412 juta akun. Dari akun-akun tersebut, 15 juta telah dihapus tetapi tidak dihapus dari basis data. Data yang terkompromi termasuk nama pengguna, alamat email (termasuk dari domain pemerintah dan militer), aktivitas dan transaksi pengguna, detail keanggotaan, alamat IP, dan informasi peramban (browser).

Menanggapi pelanggaran tersebut, FriendFinder Networks menerapkan langkah-langkah keamanan yang lebih kuat. Perusahaan juga memberi tahu pengguna yang terkena dampak untuk mengubah kata sandi mereka dan meninjau praktik keamanan online mereka.

Pelanggaran ini menyusul insiden serupa pada Mei 2015, yang membahayakan 3,5 juta pengguna lainnya. Meskipun terjadi pelanggaran ini, AdultFriendFinder terus menarik lebih dari 50 juta pengunjung per bulan di seluruh dunia.

9. JPMorgan Chase

Pada Juni 2014, JPMorgan Chase, salah satu lembaga keuangan terbesar di AS, mengalami pelanggaran data yang signifikan. Penyerang siber menyusupi akun lebih dari 76 juta rumah tangga dan 7 juta bisnis kecil.

Awalnya diyakini hanya berdampak pada 1 juta akun, pelanggaran tersebut kemudian ditemukan jauh lebih luas, berlangsung dari bulan Juni hingga Juli 2014. Peretas memperoleh akses ke informasi sensitif pelanggan, termasuk nama, alamat, nomor telepon, dan alamat email. Untungnya, mereka tidak mengakses data keuangan apa pun.

Penyelidikan lebih lanjut mengungkapkan, para peretas membobol server JPMorgan dengan mencuri identitas seorang karyawan bank, yang mengakibatkan pencurian data sensitif dalam jumlah gigabita. FBI mengaitkan pelanggaran ini dengan serangan dari Rusia.

Para peretas bertujuan untuk mengembangkan skema saham “pump and dump” sebagai bagian dari operasi kriminal yang lebih besar. Operasi tersebut juga melibatkan peretasan bank lain, menjalankan kasino online, pencucian uang secara global, dan menjalankan operasi pertukaran Bitcoin ilegal.

Meskipun tidak ada informasi keuangan yang diakses, paparan informasi pribadi ini menimbulkan kekhawatiran serius tentang perlindungan data. Sebagai respons terhadap pelanggaran tersebut, para eksekutif JPMorgan Chase berjanji untuk menginvestasikan $250 juta setiap tahunnya untuk meningkatkan langkah-langkah keamanan data mereka.

Insiden tersebut juga menyoroti perlunya lembaga keuangan untuk meningkatkan langkah-langkah keamanan siber mereka guna menjaga keamanan data nasabah. Pada November 2015, tiga orang yang terlibat dalam peretasan itu didakwa, mengungkap jaringan kriminal di balik serangan tersebut.

10. Home Depot

Pada April 2014, Home Depot, toko perkakas rumah yang populer, mengalami pelanggaran data signifikan yang memengaruhi terminal self-checkout mereka. Para penjahat dunia maya menggunakan malware yang dibuat khusus untuk menyusup ke sistem POS (Point of Sale) perusahaan, mencuri lebih dari 56 juta rekaman kartu pembayaran dan 53 juta alamat email.

Malware tersebut tetap tidak terdeteksi selama lima bulan, mengompromi jutaan pelanggan di Amerika Serikat dan Kanada.

Investigasi mengungkap, para peretas kemungkinan besar mengakses server Home Depot melalui pemasok pihak ketiga. Setelah masuk, mereka menginstal malware pada sistem POS, yang memungkinkan mereka untuk mengumpulkan dan mengunggah data kartu pembayaran ke server terpisah.

Pelanggaran ini menyoroti kerentanan dalam sistem pembayaran ritel dan potensi pencurian data yang signifikan melalui serangan malware POS.

Insiden ini mengakibatkan banyak gugatan hukum dan investigasi regulasi, mendorong Home Depot untuk meningkatkan infrastruktur keamanan siber mereka. Pada 2016, perusahaan setuju untuk membayar setidaknya $19,5 juta kepada pelanggan yang terkena dampak dan berkomitmen untuk meningkatkan keamanan data selama dua tahun.

Pada tahun 2020, Home Depot telah mengalami kerugian sekitar $180 juta, termasuk pembayaran kepada perusahaan kartu kredit dan bank, penyelesaian di pengadilan, dan pembayaran kepada pelanggan.

Nah, itu dia beberapa jenis kebocoran data terbesar dalam sejarah yang terjadi di dunia.