2 miliar alamat email bocor, dan semuanya telah diindeks di Have I Been Pwned

 (troyhunt.com)
3 poin oleh GN⁺ 2025-11-07 | Belum ada komentar. | Bagikan ke WhatsApp
  • Sebuah kumpulan data masif berisi 1.957.476.021 alamat email unik dan 1,3 miliar kata sandi telah terungkap dan baru ditambahkan ke Have I Been Pwned (HIBP)
  • Di antaranya, 625 juta kata sandi belum pernah ditemukan sebelumnya, menjadikannya salah satu data terbesar yang pernah diproses HIBP
  • Data tersebut dikumpulkan dari platform threat intelligence milik Synthient dan berisi materi credential stuffing, termasuk kombinasi email dan kata sandi yang bocor dari berbagai insiden pelanggaran
  • Untuk memverifikasi keaslian data, HIBP meminta konfirmasi langsung dari para pelanggannya, dan sebagian di antaranya ternyata masih berisi kata sandi yang benar-benar masih digunakan
  • Pengindeksan kali ini bukan kebocoran Gmail, melainkan hasil pengumpulan kredensial dari korban infeksi malware, dan pengguna dapat memeriksa apakah mereka terdampak melalui HIBP atau Pwned Passwords

Gambaran data

  • Kumpulan data ini mencakup 1.957.476.021 alamat email unik dan 1,3 miliar kata sandi
    • Di antaranya, 625 juta kata sandi adalah entri yang pertama kali ditemukan di HIBP
    • Ini merupakan skala terbesar dari seluruh data yang pernah diproses HIBP, sekitar 3 kali lebih besar dari kebocoran terbesar sebelumnya
  • Data tersebut merupakan bagian dari materi threat intelligence yang dikumpulkan oleh Synthient, dan mencakup daftar credential stuffing
    • Data credential stuffing terbentuk dari penggunaan ulang kombinasi email dan kata sandi yang bocor dari berbagai insiden pelanggaran
    • Karena praktik memakai kata sandi yang sama di banyak situs, satu kebocoran dapat berujung pada kompromi akun di layanan lain

Proses verifikasi data

  • Verifikasi dimulai dari alamat email pribadi milik penulis, dan beberapa kata sandi lama ternyata memang cocok
    • Kata sandi lain terasa tidak familiar, dan sebagian berisi nilai yang tidak normal seperti format alamat IP
  • HIBP juga meminta verifikasi dari para pelanggan untuk mengumpulkan berbagai kasus
    • Seorang pengguna mendapati kata sandi lama dan kata sandi terbaru sama-sama tercantum, lalu segera melakukan penggantian
    • Pengguna lain menemukan kata sandi yang pernah dipakai 10 hingga 20 tahun lalu tercantum di sana
    • Sebagian responden juga mendapati kata sandi yang masih digunakan pada akun aktif ikut terekspos
  • Hasil verifikasi menunjukkan bahwa data ini berisi campuran informasi lama dan kata sandi yang benar-benar masih digunakan
    • Sebagian entri juga berupa kata sandi yang dibuat otomatis atau sudah terlalu lama sehingga tidak lagi diingat

Fitur pencarian Pwned Passwords

  • Layanan Pwned Passwords dari HIBP menyimpan alamat email dan kata sandi secara terpisah
    • Ini adalah langkah untuk keamanan dan privasi, agar mengurangi risiko tereksposnya pasangan email-kata sandi
  • Pengguna dapat memeriksa apakah kata sandi mereka pernah terekspos dengan cara berikut
    1. Menggunakan halaman pencarian Pwned Passwords
    2. Pencarian berbasis kode melalui API k-anonymity
    3. Pemeriksaan otomatis lewat fitur 1Password Watchtower
  • Semua kombinasi PIN 4 digit sudah pernah bocor, dan juga ada materi visualisasi pola penggunaan PIN berbasis data HIBP

Bukan kebocoran Gmail

  • Insiden ini tidak terkait dengan celah keamanan Gmail, melainkan data kredensial korban yang dikumpulkan melalui infeksi malware
  • Seluruh data mencakup 32 juta domain email, dan gmail.com berjumlah 394 juta di antaranya
    • Alamat Gmail hanya sekitar 20% dari total keseluruhan, sedangkan 80% sisanya berasal dari domain lain
    • Tidak ada kaitan dengan kelemahan keamanan milik Google

Proses penanganan teknis

  • Data kali ini berukuran sekitar 3 kali lebih besar dari kebocoran terbesar sebelumnya, sehingga proses penanganannya sangat kompleks
    • HIBP memproses data selama sekitar 2 minggu di lingkungan Azure SQL Hyperscale (80 core)
    • Saat pembuatan hash SHA1 untuk alamat email, pembaruan dalam skala besar gagal sehingga proses dialihkan ke batch per 1 juta entri
  • Dari 5,9 juta pelanggan, 2,9 juta orang termasuk dalam data kali ini
    • Untuk menghindari penyaringan spam dan batasan server saat mengirim email massal, dipakai strategi pengiriman bertahap
    • Volume pengiriman diatur naik 1,015 kali per jam, atau sekitar 45% per hari
    • Keandalan dijaga dengan pengaturan DKIM, DMARC, SPF, serta penggunaan IP khusus
  • Ukuran respons API Pwned Passwords naik dari rata-rata 26KB menjadi 40KB
    • Hal ini karena ukuran rentang hash membesar sekitar 50%, dan efisiensi tetap dijaga lewat kompresi brotli

Kesimpulan dan langkah yang disarankan

  • Data ini dapat dicari di HIBP dengan nama “Synthient Credential Stuffing Threat Data”
    • Ini adalah kumpulan data yang terpisah dari data Synthient sebelumnya, meski ada sebagian tumpang tindih
  • HIBP menegaskan bahwa integritas data telah diverifikasi, dan menyediakan fitur pencarian yang berfokus pada privasi
  • Langkah keamanan yang direkomendasikan untuk pengguna
    • Menggunakan pengelola kata sandi
    • Membuat kata sandi yang kuat dan unik
    • Menggunakan passkey dan mengaktifkan autentikasi multi-faktor (MFA)
  • HIBP juga menyebut pekerjaan ini sebagai proyek yang sangat memakan waktu dan biaya, dan meminta pengguna untuk berfokus pada perbaikan kebiasaan keamanan, alih-alih mengajukan permintaan akses ke data

Bacaan terkait

Belum ada komentar.

Belum ada komentar.