24 Miliar Rekaman Data Terbongkar: Mengapa VPN Tidak Akan Menyelamatkan Anda

24 Miliar Rekaman Data Terbongkar: Mengapa VPN Tidak Akan Menyelamatkan Anda

Peneliti di Cybernews mengungkap salah satu basis data tidak aman terbesar yang pernah ditemukan, berisi 24 miliar rekaman dengan nama pengguna, alamat email, kata sandi teks biasa, dan URL login. Peristiwa kebocoran data miliaran kredensial ini bukanlah peretasan korporat dalam pengertian tradisional. Ini adalah tumpukan data login curian yang tersusun rapi dan terbuka di internet, siap dimanfaatkan oleh siapa pun yang memiliki alat yang tepat. Jika Anda berpikir langganan VPN Anda menjaga Anda aman dari paparan semacam ini, rincian temuan ini seharusnya mendorong pemikiran ulang yang serius.

Apa yang Sebenarnya Terkandung dalam Basis Data 24 Miliar Rekaman Ini

Skala basis data ini sulit untuk dipahami. Dua puluh empat miliar rekaman tidak berarti 24 miliar orang unik yang terkena dampak. Basis data bocoran yang dikompilasi seperti ini biasanya menggabungkan data dari ratusan kebocoran terpisah selama bertahun-tahun, yang berarti kredensial orang yang sama mungkin muncul puluhan kali di berbagai entri.

Yang membuat paparan kali ini sangat berbahaya adalah keberadaan kata sandi teks biasa. Banyak basis data menyimpan kata sandi sebagai nilai hash, yang setidaknya menciptakan penghalang sebelum data dapat digunakan. Kata sandi teks biasa tidak memerlukan upaya peretasan sama sekali. Penyerang dapat mengambil nama pengguna, memasangkannya dengan kata sandi terkait, dan langsung mencoba masuk.

Basis data ini juga menyertakan URL login, alamat web spesifik yang terkait dengan setiap set kredensial. Rincian ini sering diabaikan. Alih-alih daftar kombinasi email-kata sandi yang kemudian harus dicocokkan oleh penyerang dengan layanan yang tepat, basis data ini memberi penyerang peta langsung: inilah akunnya, ini tempat untuk masuk, dan inilah kata sandinya. Tingkat spesifisitas tersebut secara dramatis mengurangi hambatan antara rekaman yang bocor dan pengambilalihan akun yang berhasil.

Bagaimana Credential Stuffing Mengubah Kata Sandi Bocor Menjadi Pengambilalihan Akun

Credential stuffing adalah cara utama basis data seperti ini disalahgunakan. Alat otomatis menggilir pasangan nama pengguna-kata sandi dengan kecepatan luar biasa, mengujinya terhadap halaman login di ratusan layanan secara bersamaan. Karena banyak orang menggunakan kembali kata sandi di berbagai akun, kredensial yang bocor dari satu layanan dapat membuka akun di platform yang sama sekali berbeda.

Keberadaan URL login dalam basis data ini bahkan membuat langkah otomatis itu lebih efisien. Penyerang tidak perlu menebak layanan mana yang digunakan korban. Data memberitahu mereka. Satu rekaman yang terbongkar bisa berubah menjadi akun bank, kotak masuk email, atau portal VPN perusahaan yang disusupi jika korban menggunakan kembali kata sandi itu di tempat lain.

Ini bukan risiko teoretis. Serangan credential stuffing telah dikaitkan dengan pengambilalihan akun di lembaga keuangan, layanan streaming, platform e-commerce, dan sistem perusahaan. Volume data kredensial yang tersedia telah berkembang hingga titik di mana bahkan penyerang dengan sumber daya terbatas dapat menjalankan kampanye ini dalam skala besar.

Perlu dicatat juga bahwa teknik rekayasa sosial berkembang seiring dengan pencurian kredensial. Penyerang semakin sering menggabungkan data bocor dengan kampanye phishing yang ditargetkan. Mengetahui alamat email korban, layanan terkait, dan kata sandi memberi aktor jahat konteks yang cukup untuk membuat serangan lanjutan yang meyakinkan, termasuk skema phishing yang dibantu AI yang semakin sulit dibedakan dari komunikasi yang sah.

Mengapa VPN Saja Tidak Akan Melindungi Anda dari Ancaman Ini

VPN mengenkripsi lalu lintas internet Anda dan menutupi alamat IP Anda. Ini adalah alat privasi yang benar-benar berguna untuk melindungi data yang sedang dalam perjalanan, terutama di jaringan publik. Namun ancaman yang ditimbulkan oleh basis data 24 miliar rekaman ini sama sekali tidak terkait dengan intersepsi lalu lintas.

Kredensial Anda tidak dicuri saat melintas di jaringan. Kredensial itu diambil dari layanan yang Anda masuki, disimpan secara tidak aman, dan akhirnya disatukan dalam basis data terkompilasi. Pada saat basis data itu tersedia bagi penyerang, VPN Anda sudah tidak lagi berperan. Kerusakan sudah terjadi pada tingkat penyimpanan, bukan tingkat transmisi.

Ini adalah perbedaan krusial yang sering hilang dalam cara VPN dipasarkan dan didiskusikan. VPN tidak dapat melindungi data yang disimpan dengan buruk oleh layanan pihak ketiga. VPN tidak dapat mencegah serangan credential stuffing yang menggunakan kata sandi Anda dari bertahun-tahun lalu. VPN tidak dapat memberi tahu Anda ketika email Anda muncul dalam kumpulan data bocor. Ini semua adalah tugas untuk alat yang sangat berbeda.

Langkah Langsung yang Harus Dilakukan: MFA, Pengelola Kata Sandi, dan Pemantauan Kebocoran

Kabar baiknya adalah bahwa pertahanan terhadap credential stuffing sudah dipahami dengan baik dan mudah diakses. Tantangannya adalah sebagian besar orang belum sepenuhnya menerapkannya.

Aktifkan autentikasi multi-faktor di mana pun itu ditawarkan. Bahkan jika penyerang memiliki nama pengguna dan kata sandi Anda yang benar, MFA memerlukan langkah verifikasi kedua yang hampir pasti tidak dapat mereka selesaikan. Aplikasi autentikator lebih aman daripada kode berbasis SMS, tetapi kedua opsi itu jauh lebih baik daripada tidak ada MFA sama sekali. Prioritaskan akun email, akun keuangan, dan layanan apa pun yang menyimpan informasi pembayaran.

Gunakan pengelola kata sandi untuk menghasilkan dan menyimpan kata sandi unik. Penggunaan kembali kata sandi adalah hal yang mengubah satu kredensial bocor menjadi kompromi banyak akun. Pengelola kata sandi menghilangkan beban kognitif untuk mengingat kata sandi unik yang rumit untuk setiap layanan. Jika kredensial Anda dari satu kebocoran tidak dapat membuka akun lain, kerusakan dari satu paparan tunggal akan terbatas.

Periksa apakah kredensial Anda telah muncul dalam kebocoran yang diketahui. Beberapa layanan pemantauan kebocoran yang bereputasi baik memungkinkan Anda memasukkan alamat email dan melihat apakah email itu muncul dalam kumpulan data bocor yang diketahui. Banyak pengelola kata sandi kini menyertakan pemantauan ini sebagai fitur bawaan. Melakukan pemeriksaan ini adalah langkah awal yang berguna untuk memahami paparan Anda saat ini.

Audit akun Anda yang sudah ada. Cari layanan yang tidak lagi Anda gunakan dan hapus akun tersebut daripada sekadar meninggalkannya. Akun yang tidak aktif dengan kata sandi yang digunakan kembali adalah sebuah liabilitas. Semakin sedikit akun aktif berarti semakin kecil permukaan serangan.

Apa Artinya Ini Bagi Anda

Miliaran kredensial yang terbongkar dalam kebocoran data ini mewakili ancaman yang konkret dan saat ini, bukan risiko hipotetis di masa depan. Jika Anda memiliki akun yang dibuat sebelum Anda menerapkan praktik kebersihan kata sandi yang baik, kredensial lama itu mungkin sudah ada dalam basis data seperti ini.

Respons yang tepat bukanlah meninggalkan penggunaan VPN atau panik. Melainkan menyadari bahwa privasi dan keamanan membutuhkan tumpukan alat yang saling melengkapi: VPN untuk perlindungan lalu lintas, pengelola kata sandi untuk kebersihan kredensial, MFA untuk kontrol akses akun, dan pemantauan kebocoran untuk kesadaran. Tidak ada satu alat pun yang mencakup semua basis.

Luangkan waktu tiga puluh menit minggu ini untuk mengaudit pengaturan keamanan Anda. Aktifkan MFA pada akun paling sensitif Anda, lakukan pemeriksaan kebocoran pada alamat email utama Anda, dan tinjau apakah Anda masih menggunakan kembali kata sandi di berbagai layanan. Langkah-langkah ini akan berbuat lebih banyak untuk melindungi akun Anda dari dampak basis data 24 miliar rekaman daripada alat privasi tunggal mana pun.