SEJUMLAH instansi negara termasuk Kementerian Pertahanan RI menginstruksikan tidak menggunakan aplikasi Zoom untuk menggelar video conference, karena dianggap tidak aman.Bahkan perusahaan keamanan online Cyble mengungkap adanya ratusan ribu akun pengguna aplikasi Zoom yang berhasil dibobol oleh para hacker. Namun benarkah aplikasi Zoom rentan sehingga hacker mampu meretas sekian banyak akun pengguna Zoom?
Kepala Pusat Studi Forensika Digital (Pusfid) Universitas Islam Indonesia, Dr. Yudi Prayudi, mengemukakan teknik untuk menjebol akun pengguna aplikasi Zoom ini relatif sederhana.
"Teknik yang digunakan adalah menggunakan password stuffing atau dikenal juga dengan credential stuffing," ujarnya, Selasa (28/4).
Yudi mengemukakan credential stuffing adalah metode yang digunakan oleh hacker untuk melakukan pembobolan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya sudah tersedia di ranah publik. Teknik ini, ujarnya, sebenarnya adalah teknik sederhana, yaitu memanfaatkan akun-akun yang sudah pernah jebol sebelumnya dari berbagai situs untuk kemudian digunakan kembali untuk menjebol aplikasi Zoom.
"Sedangkan password stuffing adalah recycling passwords, yaitu penggunaan password yang sama untuk berbagai layanan yang berbeda," jelasnya.
Yudi merujuk pada situs https://haveibeenpwned.com/ yang dikelola oleh seorang pakar keamanan web dari Australia Troy Hunt, saat ini tercatat sekitar 9,5 miliar akun yang berhasil diretas yang berasal dari 495 website.
"Akun yang diretas umumnya adalah alamat email dan passwordnya. Jumlah akun yang berhasil diretas oleh hacker diyakini lebih besar dari yang dipublikasikan oleh Troy Hunt melalui situs tersebut," ungkapnya.
Menurut Yudi, selama ini banyak yang tidak menyadari bahwa akun email dan password milik kita merupakan bagian dari data yang berhasil diretas. Namun, di sisi lain, lanjutnya, salah satu kelemahan yang sangat disadari oleh sebagian besar user sistem adalah menggunakan pasangan email dan password yang sama untuk berbagai aplikasi lainnya.
"Biasanya beralasan untuk kemudahan dan kepraktisan mengapa user menggunakan pasangan email dan password yang sama untuk berbagai aplikasi yang berbeda," kata Yudi.
Security Boulevard pada 2018 merilis 59% responden selalu menggunakan username dan password yang sama untuk semua aplikasi yang digunakannya. Sementara alasannya mengapa menerapkan username dan password yang sama pada semua aplikasi, 61% jawabannya adalah karena takut lupa password bila setiap aplikasi harus menggunakan password yang berbeda.
Hal itulah yang sebenarnya terjadi dengan kasus diretasnya 530.000 akun Zoom. Hacker memanfaatkan data basis akun yang telah terpublikasi sebelumnya untuk kemudian menggunakannya kembali untuk meretas aplikasi Zoom.
"Dengan kata lain sebenarnya hal ini bisa terjadi pada aplikasi apa saja, tidak hanya terbatas pada aplikasi Zoom. Hanya karena Zoom sedang menjadi pusat perhatian dari seluruh komunitas siber, maka aktivitas password stuffing dilakukan pada Zoom," jelasnya.
Bila memang diretasnya sekian banyak akun Zoom tersebut adalah menggunakan aktivitas password stuffing, maka kelemahan sebenarnya terletak pada usernya itu sendiri, bukan pada aplikasi Zoom-nya. Untuk itu, katanya, pengetahuan tentang bagaimana cara menggunakan username dan password yang aman harus menjadi dasar bagi setiap user agar bisa lebih tenang dan nyaman dalam menggunakan aplikasi apapun, termasuk aplikasi Zoom.
Ia menyarankan solusi terhadap password stuffing adalah mengganti password yang lama dengan password baru yang berbeda sama sekali. Kemudian terapkan secara konsisten kombinasi password yang kuat yang memuat huruf besar, huruf kecil, angka dan karakter. Sementara untuk memudahkan penerapan password yang berbeda-beda untuk setiap aplikasi yang digunakan, maka gunakan aplikasi sejenis password manager untuk menyimpan dan mengelola username dan password pada aplikasi yang berbeda-beda.
Dengan demikian, jelasnya, apabila kita pengguna aktif aplikasi video conference Zoom, maka untuk meyakinkan diri kita bawa akun kita tidak termasuk kedalam data 530 ribu akun yang diretas hacker, maka segera ganti password.
baca juga: Relawan JCI Flotim Bagi APD Gratis ke Daerah Pulau
"Username dan password adalah kunci terhadap segala aktivitas pada dunia siber, maka berikan perhatian pada kedua hal tersebut agar kita tidak menjadi korban dari upaya-upaya peretasan akun yang akan mengganggu ketenangan, kenyamanan dan keamanan dalam beraktivitas di dunia siber," pungkasnya. (OL-3)
