Password Stuffing dan Aplikasi Zoom

Ilustrasi | Foto: freepik.com

POPULARITAS Zoom melejit seiring kebutuhan konferensi video yang mendukung aktivitas bekerja dari rumah (work from home/WFH), termasuk kegiatan belajar mengajar.

Hal itu juga tak lepas dari berbagai kemudahan yang ditawarkan aplikasi dalam memfasilitasi konferensi baik melalui komputer mapun ponsel pintar. Terlebih, aplikasi tersebut mendapatkan momen terbaik ketika pandemi Covid-19 merebak; memaksa aktivitas fisik sehari-hari berubah menjadi aktivitas berbasiskan internet.

Sejak awal Maret 2020 ketika banyak negara mulai menerapkan WFH, pengguna Zoom meningkat tajam, berbagai isu keamanan aplikasi mulai ramai dibahas dan dijadikan topik utama berbagai media terkemuka.

Salah satu isu yang sangat menghebohkan adalah laporan dari perusahaan keamanan daring (online) Cyble. Perusahaan menyatakan, terdapat 530.000 akun Zoom yang diperjualbelikan di pasar dark web.

Laporan itu sangat mengagetkan banyak pihak. Bagi awam, yang selama ini sebagai pengguna Zoom, tentu laporan itu menambah kekhawatiran aktivitasnya dalam menjalankan WFH.

Namun, benarkah demikian rentannya Zoom sehingga hacker mampu meretas sekian banyak akun pengguna?

Sayangnya, media tidak mengungkap sisi lain dari laporan Cyble tersebut. Laporan itu sebenarnya memberikan ulasan juga tentang bagaimana teknik yang memungkinkan hacker bisa mendapatkan 530.000 akun tersebut.

Teknik yang dipakai hacker adalah menggunakan password stuffing atau dikenal juga dengan credential stuffing.

Dalam hal ini credential stuffing adalah metode yang digunakan oleh hacker untuk melakukan pembobolan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya sudah tersedia di ranah publik.

Teknik itu sebenarnya sederhana, yaitu memanfaatkan akun-akun yang sudah pernah jebol sebelumnya dari berbagai situs, kemudian digunakan kembali untuk menjebol aplikasi Zoom.

Pengertian lain dari password stuffing adalah recycling passwords, yaitu penggunaan kata sandi (password) yang sama untuk berbagai layanan yang berbeda.

Merujuk pada situs web https://haveibeenpwned.com/ yang dikelola oleh seorang pakar keamanan web dari Australia Troy Hunt, saat ini tercatat sekitar 9,5 miliar akun yang berhasil diretas yang berasal dari 495 situs web. Akun yang diretas umumnya adalah alamat email dan kata sandi. Jumlah akun yang berhasil diretas oleh hacker diyakini lebih besar dari yang dipublikasikan oleh Troy Hunt melalui situs tersebut.  

Data yang dipublikasikan di situs web tersebut hanya bersumber dari informasi publik atau yang didapat melalui forum-forum underground. Sementara beberapa basis data lainnya memang tidak dipublikasikan luas dan hanya beredar secara terbatas dalam kelompok kelompok kecil hacker. Sehingga jumlah akun dan situs webnya akan lebih banyak dibandingkan dengan publikasi pada situs web tersebut.

Tidak sedikit di antara kita yang tidak menyadari bahwa akun email dan password yang kita miliki adalah termasuk salah satu dari data yang berhasil diretas tersebut.

Titik lemah pengguna

Pada sisi lain, salah satu kelemahan yang sangat disadari oleh sebagian besar pengguna sistem ialah menggunakan pasangan email dan kata sandi yang sama untuk berbagai aplikasi lain. Alasan kemudahan dan kepraktisan menjadi alasan utama mengapa umumnya pengguna menggunakan pasangan email dan password yang sama untuk berbagai aplikasi yang berbeda.

Hal itu sesuai dengan fakta survei pada 2018 yang dirilis oleh Security Boulevard. Disebutkan, sekitar 59 persen responden selalu menggunakan nama pengguna (username) dan kata sandi yang sama untuk semua aplikasi yang digunakan. Sementara alasannya mengapa menerapkan username dan password yang sama pada semua aplikasi, 61 persen jawabannya ialah karena takut lupa password bila setiap aplikasi harus menggunakan kata sandi yang berbeda.

Hal itulah yang sebenarnya terjadi dengan kasus diretasnya 530.000 akun Zoom. Hacker memanfaatkan data basis akun yang telah terpublikasi sebelumnya untuk kemudian menggunakannya kembali untuk meretas aplikasi Zoom. Dengan kata lain sebenarnya hal ini bisa terjadi pada aplikasi apa saja, tidak hanya terbatas pada aplikasi Zoom.

Karena Zoom sedang menjadi pusat perhatian dari seluruh komunitas siber, aktivitas password stuffing dilakukan pada Zoom. Bila memang diretasnya sekian banyak akun Zoom tersebut ialah menggunakan aktivitas password stuffing, kelemahan sebenarnya terletak pada pengguna itu sendiri, bukan pada aplikasi Zoom.

Untuk itu, pengetahuan tentang bagaimana cara menggunakan nama pengguna dan kata sandi yang aman harus menjadi dasar bagi setiap pengguna agar bisa lebih tenang dan nyaman dalam menggunakan aplikasi apa pun, termasuk Zoom.

Dalam dunia keamanan komputer, password stuffing hampir sama dengan teknik brute force attack, alias teknik coba-coba untuk menjebol sebuah sistem. Hanya, brute force attack sifat serangannya adalah tanpa konteks dengan string acak dan mendasarkan pada pola umum yang digunakan atau kamus frasa umum dalam membuat password.

Sementara password stuffing mendasarkan teknik coba-cobanya pada basis data pengguna dan password yang pernah digunakan sebelumnya.

Peneliti keamanan menyebutkan, tingkat keberhasilan password stuffing lebih tinggi dibandingkan dengan teknik brute force attack. Bahkan, dengan teknik keamanan web modern, brute force attack semakin kecil kemungkinannya untuk berhasil.

Namun, tidak demikian dengan password stuffing, pasangan akun dan password seseorang dapat dengan mudah digunakan pada aplikasi target bila memang akun tersebut terdaftar sebagai pengguna aplikasi tersebut.

Solusi mencegah password stuffing adalah mengganti kata sandi lama, kemudian terapkan secara konsisten kombinasi password yang kuat yang memuat huruf besar, huruf kecil, angka, dan karakter.

Untuk memudahkan penerapan kata sandi yang berbeda-beda untuk setiap aplikasi yang kita gunakan, maka gunakan aplikasi password manager untuk menyimpan dan mengelola nama pengguna dan kata sandi kita pada aplikasi yang berbeda-beda.

Dengan demikian, apabila kita pengguna aktif Zoom, untuk meyakinkan diri kita bahwa akun kita tidak termasuk dalam 530 ribu akun yang retas oleh hacker, maka segera ganti password.

Nama pengguna dan kata sandi adalah kunci terhadap segala aktivitas pada dunia siber. Maka berikan perhatian pada kedua hal tersebut agar kita tidak menjadi korban dari upaya peretasan akun.[]

*Penulis adalah Kepala Pusat Studi Forensika Digital (PUSFID) Universitas Islam Indonesia