Geger! 16 Miliar Password Apple & Google Bocor, Rekor Terbesar!

Rancak Media JAKARTA — Gelombang kebocoran data semakin mengkhawatirkan dengan terungkapnya 16 miliar kredensial login, termasuk kata sandi, yang kini beredar luas di internet. Investigasi mendalam yang dilakukan tim peneliti Cybernews dan Forbes sejak awal tahun ini menemukan bahwa data sensitif ini bukan sekadar daur ulang dari insiden lama, melainkan koleksi baru yang dihasilkan oleh maraknya serangan malware infostealer.

Dilansir dari Forbes pada Jumat (20/6/2025), kredensial yang bocor tersebut mencakup akun dari hampir semua layanan daring terkemuka. Mulai dari platform raksasa seperti Apple, Google, Facebook, Telegram, GitHub, layanan VPN, hingga akun-akun pemerintahan yang krusial, semuanya berpotensi terdampak. Skala dan cakupan kebocoran ini menjadi perhatian serius bagi jutaan pengguna di seluruh dunia.

Para peneliti, seperti dilaporkan oleh Malware Bytes, menyebut kebocoran ini sebagai “peta biru eksploitasi massa”. Hal ini mengindikasikan bahwa data yang terekspos dapat menjadi fondasi bagi berbagai jenis serangan siber, termasuk serangan phishing yang lebih canggih, pengambilalihan akun, pencurian identitas, hingga penipuan finansial berskala global. Ancaman ini tidak hanya bersifat individual, tetapi juga berpotensi mengganggu stabilitas digital secara keseluruhan.

“Ini bukan hanya kebocoran—ini adalah cetak biru untuk eksploitasi massal,” demikian peringatan para peneliti seperti dikutip dari Independent. Mereka menekankan bahwa kumpulan data ini bukanlah pelanggaran lama yang didaur ulang, melainkan informasi yang segar dan dapat dipersenjatai dalam skala besar, memberikan keuntungan signifikan bagi para pelaku kejahatan siber.

Data kredensial login bocor ini ditemukan dalam 30 kumpulan database berbeda. Setiap basis data berisi puluhan juta hingga lebih dari 3,5 miliar kredensial. Yang lebih mengkhawatirkan, hampir seluruh dataset ini belum pernah dilaporkan sebelumnya, kecuali satu database berisi 184 juta password yang sempat menjadi viral pada Mei lalu. Seluruh kebocoran ini diduga kuat berasal dari infostealer—jenis malware berbahaya yang secara diam-diam mencuri data login dari perangkat korban dan mengirimkannya langsung ke tangan pelaku kejahatan siber.

Infostealer sendiri merupakan ancaman siber yang dirancang khusus untuk mencuri kredensial, dompet kripto, dan berbagai data penting lainnya dari perangkat yang terinfeksi. Malware ini memiliki kemampuan untuk menyerang baik sistem operasi Windows maupun Mac. Ketika berhasil dieksekusi, infostealer akan secara otomatis mengumpulkan semua kredensial yang tersimpan di perangkat, lalu menyimpannya dalam sebuah “log” yang siap diekstraksi. Log infostealer umumnya berupa arsip yang berisi banyak file teks dengan daftar kredensial dari browser, file, dan aplikasi lain, seringkali dalam format umum URL:username:password, meskipun delimiter bisa bervariasi.

Masalah infostealer kini telah meluas sedemikian rupa sehingga data bocor dari serangan ini menjadi salah satu metode paling umum bagi pelaku kejahatan siber untuk membobol jaringan atau akun pengguna. Banyak dari log hasil pencurian ini kemudian diunggah ke platform pelaku kejahatan untuk serangan lanjutan atau dijual di pasar gelap siber. Bahkan, beberapa kompilasi besar kredensial ini dibagikan secara gratis di platform seperti Telegram, Pastebin, dan Discord, seringkali sebagai strategi untuk membangun reputasi atau sebagai ‘teaser’ penawaran berbayar, demikian laporan dari Bleeping Computer.

Para pakar keamanan siber menegaskan bahwa kebocoran password masif ini membuka peluang eksploitasi yang tak terduga. Para penjahat siber kini memiliki akses ke miliaran kredensial yang bisa digunakan untuk pengambilalihan akun mulai dari media sosial, email, hingga perbankan dan korporasi. Selain itu, data yang bocor juga berpotensi digunakan untuk pencurian data pribadi, memungkinkan penipuan identitas, aplikasi pinjaman ilegal, atau penyamaran. Terlebih lagi, kredensial bisnis yang bocor membuka pintu bagi serangan ransomware yang merusak atau penipuan transfer dana yang masif.

Menyikapi situasi genting ini, Google segera mengimbau miliaran penggunanya untuk beralih dan mengganti password mereka dengan passkey yang jauh lebih aman. FBI juga memperingatkan masyarakat agar selalu waspada dan tidak mengklik tautan mencurigakan di SMS atau email, mengingat maraknya penjualan password curian di dark web. Darren Guccione dari Keeper Security menekankan pentingnya penggunaan password manager yang andal, monitoring web secara berkala, serta penerapan model zero-trust oleh organisasi untuk membatasi akses ke sistem sensitif. Para pakar lain mengingatkan bahwa keamanan siber bukan hanya isu teknis, melainkan tanggung jawab bersama antara pengguna individu dan organisasi.

Untuk melindungi diri dari dampak kebocoran kredensial ini, pakar keamanan merekomendasikan beberapa langkah perlindungan yang esensial:

• Ganti semua password akun penting Anda secara berkala, pastikan untuk menggunakan kombinasi yang kuat dan unik untuk setiap layanan.
• Aktifkan fitur multi-factor authentication (MFA) di semua layanan yang mendukungnya sebagai lapisan keamanan tambahan.
• Manfaatkan password manager tepercaya untuk menyimpan dan mengelola semua password Anda dengan aman dan terenkripsi.
• Pantau aktivitas akun Anda secara rutin untuk mendeteksi tanda-tanda aktivitas yang mencurigakan secepat mungkin.
• Segera beralih ke passkey jika fitur tersebut sudah tersedia dan didukung oleh layanan yang Anda gunakan, karena ini menawarkan metode autentikasi yang lebih aman.
• Jangan pernah membagikan password Anda kepada siapapun dan selalu waspadai tautan atau email mencurigakan yang berpotensi menjadi jebakan phishing.