Hacker memasang 167 juta kata kunci LinkedIn untuk dijual

Pelanggaran data LinkedIn tahun lalu jauh lebih buruk daripada yang dipikirkan orang lain.

Pada tahun 2012, LinkedIn mengalami pelanggaran data yang sangat besar dimana lebih dari 6 juta pengguna memasukkan rincian login, termasuk password terenkripsi, diposkan secara online oleh seorang hacker Rusia.

Sekarang, ternyata bukan hanya 6 Juta pengguna yang mendapat rincian login mereka dicuri.


Laporan terbaru menunjukkan bahwa pelanggaran data LinkedIn di tahun 2012 mungkin telah mengakibatkan penjualan online atas informasi akun sensitif, termasuk email dan kata kunci, sekitar 117 juta pengguna LinkedIn.

Hampir setelah 4 tahun, seorang hacker dengan nama panggilan "Peace" menawarkan untuk dijual yang dia klaim sebagai basis data dari 167 juta email dan password hash, yang mencakup 117 juta password yang sudah dipecahkan, milik pengguna LinkedIn.

Si hacker, yang menjual data curian di pasar Dark Web ilegal "The Real Deal" untuk 5 Bitcoin (sekitar $ 2.200), telah berbicara dengan Motherboard, yang mengkonfirmasi bahwa login ini berasal dari pelanggaran data tahun 2012.

Karena kata sandi awalnya dienkripsi dengan algoritma SHA1, dengan "tidak ada garam," hanya mengambil 'LeakedSource', mesin pencari berbayar untuk data yang diretas, 72 jam untuk memecahkan kira-kira 90% dari kata kunci.

Troy Hunt, seorang peneliti independen yang mengoperasikan "Have I Been Pwned?" Situs, mengulurkan tangan ke sejumlah korban yang memastikan Hunt bahwa kredensial yang bocor itu sah.

Seluruh kejadian membuktikan bahwa LinkedIn menyimpan kata sandi Anda dengan cara yang tidak aman dan bahwa perusahaan tersebut tidak mengetahuinya dengan tepat bagaimana meluasnya pelanggaran data pada saat itu.

Menanggapi kejadian ini, juru bicara LinkedIn menginformasikan bahwa perusahaan sedang menyelidiki masalah ini.

Pada tahun 2015, Linkedin juga setuju untuk menyelesaikan gugatan class-action atas pelanggaran keamanan tahun 2012 dengan membayar total $ 1,25 juta kepada korban di AS, berarti $ 50 untuk masing-masing.

Menurut gugatan tersebut, perusahaan tersebut melanggar kebijakan kerahasiaannya dan kesepakatan dengan pelanggan premium yang berjanji akan menjaga agar informasi pribadi mereka tetap aman.

Namun, sekarang laporan baru menunjukkan bahwa total 167 juta akun LinkedIn dilanggar, bukan hanya 6 juta.

Dengan asumsi, jika setidaknya 30% akun LinkedIn yang diretas milik Amerika, maka perusahaan tersebut harus membayar lebih dari $ 15 Juta.

Sementara itu, saya sarankan Anda untuk mengubah kata sandi Anda (dan simpan yang lebih lama dan lebih kuat satu kali ini) dan aktifkan autentikasi dua faktor untuk akun LinkedIn Anda sesegera mungkin. Juga, lakukan hal yang sama untuk akun online lainnya jika Anda menggunakan kata kunci yang sama di beberapa situs.

Sekitar empat tahun lalu, tepatnya Juni 2012, lebih dari 6 juta akun LinkedIn diretas dan diperjualbelikan oleh oknum tak bertanggung jawab yang menamai dirinya "Peace".

Kini, peretas asal Rusia tersebut kembali berulah. Sebanyak 117 juta email dan password LinkedIn dijual di marketplaceilegal.

Harganya dipatok 5 bitcoin atau setara 2.200 dollar AS (Rp 29,7 jutaan), sebagaimana dilaporkan TheNextWeb dan dihimpun KompasTekno, Jumat (20/5/2016).

Peace sudah mengakui perbuatannya tersebut. Ia mengatakan ratusan juta akun itu dikumpulkan saat peretasan pada 2012 silam.

Artinya, angka enam juta yang sebelumnya terindikasi bukanlah angka sebenarnya. LinkedIn, kata Peace, memang tak mengekspos secara terbuka seberapa besar pengguna yang terimbas kala itu.

Peace menambahkan, mayoritas passworddi LinkedIn sejatinya terenkripsi oleh algoritma SHA1. Meski begitu, 90 persen telah sukses diretas.

Saat dimintai keterangan, juru bicara LinkedIn mengatakan akan meningkatkan kualitas keamanan pada layanannya. "Kami sedang mengambil langkah solutif untuk membatalkan password akun yang teretas," kata juru bicara tersebut.

"Kami juga akan meminta pengguna untuk mengatur ulang password mereka," ia menambahkan.

Share this post