Password Stuffing

Zoom adalah sebuah aplikasi yang tiba-tiba melejit popularitasnya sejalan dengan munculnya kebutuhan video conference untuk mendukung aktivitas work from home, termasuk kegiatan belajar mengajar. Review tentang keunggulan zoom dibandingkan dengan aplikasi video conference lainnya sebenarnya sudah mulai banyak disampaikan sejak 2 tahun lalu. Zoom mendapatkan momen terbaik untuk dikenal luas ketika pandemik corona merebak yang memaksa untuk mengubah aktivitas fisik sehari menjadi aktivitas berbasiskan pada internet. Naiknya popularitas Zoom tidak lepas dari berbagai kemudahan yang ditawarkan zoom dalam memfasilitasi video conference baik yang berbasis komputer maupun handphone.

Namun demikian, meningkatnya popularitas Zoom jugamenjadi perhatian dari pelaku dan pengamat keamanan komputer. Sejak awal Maret 2020 ketika mulai banyak negara menerapkan work from home maka sejak itu pula pengguna aplikasi video conference Zoom meningkat dengan tajam. Sejak itu pula, berbagai issue keamanan Zoom mulai ramai dibahas dan dijadikan topik utama berbagai media terkemuka. Salah satu issue yang sangat menghebohkan adalah laporan dari perusahaan keamanan online Cyble yang menyatakan bahwa terdapat 530.000 akun Zoom yang diperjualbelikan di pasar dark web. Laporan tersebut tentunya sangat mengagetkan banyak pihak. Bagi masyarakat awam yang selama ini sebagai pengguna Zoom tentunya laporan tersebut akan menambah kekhawatiran akan kelangsungan aktivitas berikutnya dalam menjalankan work from home. Namun benarkah demikian rentannya aplikasi Zoom sehingga hacker mampu meretas sekian banyak akun pengguna Zoom.

Sayangnya media tidak mengungkap sisi lain dari laporan dari perusahaan keamanan online Cyble tersebut. Laporan tersebut sebenarnya memberikan ulasan juga tentang bagaimana teknik yang memungkinkan hacker bisa mendapatkan 530.000 akun tersebut. Ternyatanya tekniknya adalah menggunakan password stuffing atau dikenal juga dengan credential stuffing. Dalam hal ini credential stuffing adalah metode yang digunakan oleh hacker untuk melakukan pembobolan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya sudah tersedia di ranah publik. Teknik ini sebenarnya adalah teknik sederhana, yaitu memanfaatkan akun-akun yang sudah pernah jebol sebelumnya dari berbagai situs untuk kemudian digunakan kembali untuk menjebol aplikasi Zoom. Pengertian lainnya dari password stuffing adalah recycling passwords, yaitu penggunaan password yang sama untuk berbagai layanan yang berbeda.

Merujuk pada situs https://haveibeenpwned.com/ yang dikelola oleh seorang pakar keamanan web dari Australia bernama Troy Hunt, saat ini tercatat sekitar 9,5 milyar akun yang berhasil diretas yang berasal dari 495 website. Akun yang diretas umumnya adalah alamat email dan passwordnya. Jumlah akun yang berhasil diretas oleh hacker diyakini lebih besar dari yang dipublikasikan oleh Troy Hunt melalui situs tersebut. Data yang dipublikasikan tersebut hanya bersumber dari informasi publik atau yang didapat melalui forum-forum underground. Sementara beberapa basis data lainnya memang tidak dipublikasikan luas dan hanya beredar secara terbatas dalam kelompok kelompok kecil hacker. Sehingga jumlah akun dan websitenya akan lebih banyak dibandingkan dengan publikasi pada website tersebut.

Tidak sedikit diantara kita yang tidak menyadari bahwa akun email dan password yang kita miliki adalah termasuk salah satu dari data yang berhasil diretas tersebut. Pada sisi lain,  salah satu kelemahan yang sangat disadari oleh sebagian besar user sistim adalah menggunakan pasangan email dan password yang sama untuk berbagai aplikasi lainnya. Alasan kemudahan dan kepraktisan menjadi alasan utama mengapa umumnya user menggunakan pasangan email dan password yang sama untuk berbagai aplikasi yang berbeda. Hal ini sesuai dengan fakta dari sebuah survey pada tahun 2018 yang direlease oleh Security Boulevard, disebutkan bahwa 59% responden selalu menggunakan username dan password yang sama untuk semua aplikasi yang digunakannya. Sementara alasannya mengapa menerapkan username dan password yang sama pada semua aplikasi, 61% jawabannya adalah karena takut lupa password bila setiap aplikasi harus menggunakan password yang berbeda.

Hal itulah yang sebenarnya terjadi dengan kasus diretasnya 530.000 akun Zoom. Hacker memanfaatkan data basis akun yang telah terpublikasi sebelumnya untuk kemudian menggunakannya kembali untuk meretas aplikasi Zoom. Dengan kata lain sebenarnya hal ini bisa terjadi pada aplikasi apa saja, tidak hanya terbatas pada aplikasi Zoom. Hanya karena Zoom sedang menjadi pusat perhatian dari seluruh komunitas siber, maka aktivitas password stuffing dilakukan pada Zoom. Bila memang diretasnya sekian banyak akun Zoom tersebut adalah menggunakan aktivitas password stuffing, maka kelemahan sebenarnya terletak pada usernya itu sendiri, bukan pada aplikasi Zoomnya. Untuk itu, pengetahuan tentang bagaimana cara menggunakan username dan password yang aman harus menjadi dasar bagi setiap user agar bisa lebih tenang dan nyaman dalam menggunakan aplikasi apapun, termasuk aplikasi Zoom.

Perusahaan keamanan online Cyble sendiri memiliki website sejenis dengan https://haveibeenpwned.com/  dan beralamat di https://amibreached.com/ ternyata mengklaim memuat data base dari 32 milyar akun yang diretas. Publik bisa saja kemudian memberikan asumsi bahwa bisa jadi data base yang dimiliki oleh Cyble tersebut dijadikan sebagai dasar pengujian password stuffing terhadap aplikasi Zoom, dan bila yang didapat adalah angka 530.000, berarti hanya sekitar 0,00016 % dari data base akun tersebut. Namun bisa juga Cyble membuat laporan langsung pada temuan di dark web dimana aktivitas pengujian password stuffingnya dilakukan oleh pihak lain yang tidak disebutkan.

Dalam dunia keamanan komputer, password stuffing hampir sama dengan teknik brute force attack, alias teknik coba-coba untuk menjebol sebuah sistem. Hanya saja brute force attack sifat serangannya adalah tanpa konteks dengan string acak dan mendasarkan pada pola umum yang digunakan atau kamus frasa umum dalam membuat password. Sementara password stuffing mendasarkan teknik coba-cobanya pada data base user dan password yang pernah digunakan sebelumnya. Peneliti keamanan menyebutkan bahwa tingkat keberhasilan password stuffing lebih tinggi dibandingkan dengan teknik brute force attack. Bahkan dengan teknik keamanan web modern, brute force attack semakin kecil kemungkinannya untuk berhasil. Namun tidak demikian dengan password stuffing, pasangan akun dan password seseorang dapat dengan mudah digunakan pada aplikasi target bila memang akun tersebut terdaftar sebagai pengguna aplikasi tersebut.

Solusi terhadap password stuffing adalah mengganti password yang lama dengan password baru yang berbeda sama sekali. Kemudian terapkan secara konsisten kombinasi password yang kuat yang memuat huruf besar, huruf kecil, angka dan karakter. Sementara untuk memudahkan penerapan password yang berbeda-beda untuk setiap aplikasi yang kita gunakan, maka gunakan aplikasi sejenis password manager untuk menyimpan dan mengelola username dan password kita pada aplikasi yang berbeda-beda. Dengan demikian, apabila kita pengguna aktif aplikasi video conference Zoom, maka untuk meyakinkan diri kita bawa akun kita tidak termasuk kedalam data 530 ribu akun yang retas oleh hacker, maka segera ganti password. Username dan password adalah kunci terhadap segala aktivitas pada dunia siber, maka berikan perhatian pada kedua hal tersebut agar kita tidak menjadi korban dari upaya-upaya peretasan akun yang akan mengganggu ketenangan, kenyamanan dan keamanan dalam beraktivitas di dunia siber.

Dr. Yudi Prayudi

Pusat Studi Forensika Digital (PUSFID)

Universitas Islam Indonesia

Sumber Bacaan:

https://www.csoonline.com/article/3448558/credential-stuffing-explained-how-to-prevent-detect-and-defend-against-it.html

https://blog.daftcode.pl/how-to-overcome-credential-stuffing-attacks-f49a76883e93

https://securityboulevard.com/2018/05/59-of-people-use-the-same-password-everywhere-poll-finds/

‘Password Stuffing’

https://mediaindonesia.com/read/detail/308208-pembobol-zoom-menggunakan-akun-akun-jebol

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.