Bocoran Data Besar Ungkap Kerentanan Keamanan Siber yang Meluas

LastPass, salah satu aplikasi pengelola kata sandi terbesar di dunia, baru-baru ini terkena denda sebesar £1,2 juta atau setara 1,6 juta dolar Amerika Serikat dari Komisi Informasi Inggris karena kegagalan mereka dalam melindungi data penggunanya. Pelanggaran ini mempengaruhi 1,6 juta pengguna yang datanya disimpan dalam database cadangan yang berhasil diakses oleh hacker tanpa izin. Meskipun insiden ini mengkhawatirkan, kabar baiknya adalah tidak ada bukti yang menunjukkan bahwa kata sandi pengguna berhasil didekripsi atau bocor. Terlebih lagi, para ahli masih menganjurkan penggunaan manajer kata sandi sebagai cara yang jauh lebih aman daripada menggunakan kata sandi yang sama atau kata sandi yang lemah di banyak akun. Insiden LastPass ini menyoroti bagaimana serangan siber sekarang berfokus tidak hanya pada kata sandi, tetapi pada akses apa saja yang bisa diperoleh penyerang setelah berhasil mendapatkan identitas pengguna. FBI bahkan baru-baru ini merilis database besar berisi 630 juta kata sandi curian yang diambil dari berbagai platform dan pasar gelap, sebagai bukti nyata bahaya praktik penggunaan kata sandi yang buruk. Para pakar keamanan juga menegaskan bahwa masalah keamanan tidak hanya soal teknologi, namun juga melibatkan aspek tata kelola perusahaan, pelatihan kesadaran karyawan, dan pengelolaan risiko dari pemasok atau vendor yang digunakan. Kasus LastPass menjadi peringatan penting bagi bisnis untuk meninjau keseluruhan ekosistem keamanan mereka. Dalam tanggapannya, LastPass mengaku bekerja sama dengan otoritas sejak awal insiden serta terus meningkatkan langkah-langkah keamanannya. Pengguna diimbau untuk tetap menggunakan pengelola kata sandi, sambil tetap waspada dan menerapkan praktik keamanan terbaik demi melindungi data pribadi mereka secara online.

Pada tahun 2025, lebih dari 5,6 juta orang Amerika mengalami pencurian data pribadi termasuk nomor Jaminan Sosial, alamat, dan tanggal lahir. Data ini dicuri melalui peretasan pada 700Credit, perusahaan yang menangani pemeriksaan kredit untuk dealer mobil di seluruh AS. Data yang bocor berasal dari aplikasi kredit antara Mei hingga Oktober 2025. Pelaku berhasil mencuri data karena salah satu mitra integrasi 700Credit mengalami peretasan pada Juli dan tidak memberi tahu perusahaan. Hal ini membuat hacker menggunakan API yang memiliki cacat desain untuk mengakses data tanpa izin yang valid. Serangan ini terjadi selama lebih dari dua minggu dengan jutaan permintaan otomatis. Sekitar 18.000 dealer terkena dampak dari kebocoran ini. 700Credit telah menutup API yang rentan dan memberikan perlindungan berupa monitoring kredit dan proteksi kehilangan identitas selama 12 hingga 24 bulan secara gratis untuk para korban. Beberapa negara bagian seperti Michigan dan Wisconsin mencatat jumlah korban terbesar. Pejabat keamanan dan hukum, seperti Jaksa Agung Michigan Dana Nessel, mengimbau korban agar tidak mengabaikan surat pemberitahuan dan mengambil tindakan cepat, seperti pembekuan kredit dan memantau aktivitas akun. Selain itu, perusahaan sudah bekerja sama dengan FBI dan lembaga terkait dalam menangani kasus ini. Insiden ini menggarisbawahi pentingnya keamanan dalam ekosistem vendor pihak ketiga. Walaupun perusahaan memiliki sistem keamanan yang kuat, kerentanan mitra dapat menjadi titik lemah yang dimanfaatkan oleh pelaku kejahatan siber. Penguatan protokol API dan peningkatan asuransi siber menjadi langkah yang diambil 700Credit untuk pencegahan ke depan.

Sebuah database besar berisi 4,3 miliar data profesional ditemukan terbuka dan tanpa pengamanan di internet. Data ini berasal dari metode pengumpulan seperti yang biasa dilakukan LinkedIn dan berisi berbagai informasi penting mulai dari nama lengkap, email, hingga riwayat pekerjaan dan foto profil. Penemuan ini dilakukan oleh peneliti keamanan pada akhir November 2025. Database tersebut memiliki data yang sangat terstruktur, memudahkan penjahat siber memanfaatkannya untuk membuat serangan siber seperti phishing, penipuan email bisnis, dan penyamaran sebagai atasan dengan bantuan kecerdasan buatan. Selain data profesional, informasi ini bisa dikombinasikan dengan kebocoran data lain untuk membuat profil yang sangat detail tentang target. Penemuan ini menggarisbawahi kesulitan LinkedIn dan perusahaan lain dalam melawan aktivitas ilegal yang mengumpulkan data pengguna dalam skala besar dan membuat profil palsu. Salah satu kasus yang tengah berlangsung adalah gugatan hukum LinkedIn terhadap perusahaan yang menyediakan layanan pengambilan data massal dan membuat banyak profil palsu. Bagi individu, penting untuk menggunakan perlindungan seperti otentikasi dua faktor, manajemen kata sandi yang unik, dan skeptisisme terhadap pesan yang berkaitan dengan pekerjaan atau kolega. Organisasi juga disarankan meningkatkan prosedur keamanan internal, terutama untuk permintaan perubahan pembayaran dan pelatihan mengenai serangan phishing yang semakin nyata. Secara keseluruhan, kebocoran ini memperlihatkan bahwa data yang dibagikan di platform profesional bisa saja telah beredar luas dan mudah dimanfaatkan untuk kejahatan siber. Baik individu maupun perusahaan harus mulai mengantisipasi bahwa informasi mereka mungkin sudah berada dalam database milik pelaku kejahatan dan bertindak sesuai untuk melindungi diri.

LastPass, salah satu layanan pengelola kata sandi paling terkenal, baru-baru ini mengalami pelanggaran data besar yang memengaruhi 1,6 juta pengguna di Inggris. Ini menjadi perhatian serius karena LastPass digunakan oleh jutaan orang dan ribuan perusahaan sebagai alat pengelola kata sandi mereka. Penyebab utama pelanggaran ini adalah kegagalan LastPass dalam menerapkan langkah-langkah teknis dan keamanan yang cukup kuat, sehingga memungkinkan peretas untuk mengakses database cadangan mereka secara tidak sah. Meskipun kata sandi pengguna tidak diketahui berhasil didekripsi, insiden ini tetap menunjukkan kerentanan serius dalam sistem mereka. Otoritas Informasi Inggris (ICO) telah memberikan denda sebesar £1,2 juta, yang setara dengan sekitar Rp 26.31 miliar ($1,6 juta) , sebagai bentuk sanksi atas kegagalan tersebut. ICO menegaskan bahwa LastPass seharusnya bisa menjaga data pelanggan dengan lebih baik, mengingat janji mereka untuk membantu meningkatkan keamanan pengguna. Para ahli keamanan juga menyoroti bahwa masalah utama bukan hanya kata sandi, tetapi apa yang bisa diakses penyerang begitu identitas pengguna dikompromikan. Hal ini menunjukkan bahwa pengelolaan keamanan secara menyeluruh, termasuk kesadaran staf dan pengelolaan risiko mitra, adalah sangat penting. Meski insiden ini mengejutkan banyak pihak, penggunaan manajer kata sandi masih direkomendasikan sebagai cara meningkatkan keamanan digital. Namun, perusahaan penyedia layanan ini harus lebih bertanggung jawab dan meningkatkan tata kelola mereka untuk mencegah insiden serupa terjadi di masa depan.