Belajar dari Pusat Data, Ini Daftar Password Gampang Ditebak Hacker

Viral di media sosial bahwa peretasan Pusat Data Nasional Sementara 2 Surabaya diduga berasal dari orang dalam atau ordal, seperti karyawan dan penggunaan password yang mudah ditebak yakni Admin#1234. Ini daftar password paling mudah dibobol oleh hacker.

Menurut studi NordPass, admin123, admin@123, arsenal, chelsea, dan liverpool termasuk dalam daftar password yang bisa dibobol oleh hacker hitungan menit. Daftarnya dapat dilihat pada tautan atau link https://nordpass.com/most-common-passwords-list/?utm_medium=affiliate&utm_term&utm_content=100039968&utm_campaign=off490&utm_source=aff34741&aff_free

NordPass juga merilis laporan terkait 200 password yang paling banyak digunakan selama 2019 – 2022. Datanya dapat dilihat pada link berikut https://s1.nordcdn.com/nord/misc/0.78.0/nordpass/top-200-2023/200-most-common-passwords-en.pdf

“Menggunakan informasi yang dapat diidentifikasi, seperti tim sepak bola favorit, nama anggota keluarga, atau kota tempat tinggal Anda, dapat membuat kata sandi lebih mudah ditentukan,” kata white hacker Joe Cockcroft dikutip dari Express.co.uk, akhir tahun lalu (3/10/2023).

Ia pun membagikan tips membuat password:

• Kata sandi rumit dan panjang. Panjangnya kata sandi juga berperan besar dalam seberapa mudahnya password dibobol.

“Kata sandi yang pendek dengan campuran angka, simbol, dan huruf tetap lebih mudah dibobol daripada password yang panjang meski dengan hanya huruf dan spasi,” kata dia.

• Setop menggunakan password yang sama atau mirip untuk beberapa akun, karena jika akun diretas, kode tersebut dapat digunakan untuk mengakses beberapa platform.

“Pelaku kejahatan siber mungkin dapat menguraikan pola ini setelah mengamati satu atau beberapa kata sandi yang disusupi,” ujar dia.

• Menggunakan autentikasi multi-faktor

Mengaktifkan fitur ini pada akun dapat mengurangi tingkat keberhasilan peretasan akun, karena pelaku tidak mungkin memiliki akses ke kode autentikasi multi-faktor. Fitur ini juga akan memberi tahu pengguna jika seseorang yang tidak berwenang telah masuk ke akun.

• Memeriksa apakah akun pernah dibobol dalam pelanggaran data terkait layanan yang digunakan. Misalnya, pengguna menggunakan layanan bank dan bank itu dibobol. Pengguna bisa mengecek apakah akunnya termasuk yang dibobol atau dicuri datanya.

“Jika iya, Anda perlu mengubah kata sandi. Anda juga dapat menyoroti informasi lain apa saja yang kini dapat diakses dengan mudah oleh pelaku ancaman,” katanya.

Dugaan Password Mudah Ditebak di Pusat Data Nasional

Akun X @kafiradikalis membuat unggahan bahwa peretasan Pusat Data Nasional Sementara 2 Surabaya disebabkan oleh orang dalam atau karyawan pada Rabu (3/7). Dia menautkan akun Ketua Komisi I DPR Meutya Hafid dalam konten itu.

Ia menyampaikan, dirinya menemukan dokumen Pusat Data Nasional Sementara di pencarian Google yang diunggah di platform SCRIBD pada 11 Oktober 2022 oleh oleh akun bernama Dicky.

Dokumen tersebut menyertakan akses virtual cloud atau portal, akses virtual private network atau VPN, akses virtual data center, dashboard virtual data center, dan spesifikasi virtual machine.

Dokumen itu juga menunjukkan, Badan Pengawasan Keuangan dan Pembangunan atau BPKP menggunakan password ‘Admin#1234’.

...Kpd Yth @meutya_hafid pimpinan Komisi 1 DPR, kami mendapatkan data telak nan luar biasa bahwa kebocoran PDN diduga kuat berasal dari orang dalam sejak 11 Oktober 2022.

Nama'y: Dicky Prasetya Atmaja.

Dia bekerja di LintasArta.

Dialah saksi mahkota, kok bisa?

Thread! (``,) https://t.co/ukNisV6nci— 222 Mountains For Palestine (@kafiradikalis) July 3, 2024

Berdasarkan foto profil pengguna SCRIBD, memperlihatkan foto Dicky dengan keterangan logo perusahaan LintasArta.

Para jurnalis mengonfirmasi unggahan warganet tersebut kepada Kominfo alias Kementerian Komunikasi dan Informatika pada Kamis (4/7).

Direktur Jenderal Aplikasi Informatika atau Dirjen Aptika Kominfo Semuel Abrijani Pangerapan menyatakan, kementerian sedang melakukan investigasi terkait informasi viral tersebut.

“Semua sedang bekerja, baik Badan Siber dan Sandi Negara atau BSSN, divisi siber Polri, dan lainnya melakukan investigasi,” kata Semuel yang mengundurkan diri pada Kamis (4/7).

Akan tetapi, Menteri Koordinator Bidang Politik Hukum dan Keamanan Hadi Tjahjanto pernah menyampaikan, salah satu penyebab Pusat Data Nasional Sementara 2 Surabaya diretas yakni penggunaan password yang terdeteksi oleh hacker.

“Dari hasil forensik, kami sudah bisa mengetahui siapa user yang selalu menggunakan password (tertentu), dan akhirnya terjadi permasalahan-permasalahan yang sangat serius ini," kata saat konferensi pers di kantornya, Jakarta, Senin (1/7).

User yang dimaksud yakni kementerian atau lembaga yang menggunakan Pusat Data Nasional Sementara 2 Surabaya.

Ia menyampaikan, BSSN atau Badan Siber dan Sandi Negara akan memegang kendali dalam pengawasan Pusat Data Nasional Sementara 2 Surabaya. BSSN akan memantau data hingga aktivitas pegawai di PDNS 2 dalam menerima notifikasi tertentu, termasuk penggunaan password.

"BSSN akan terus meningkatkan keamanan siber dengan cara menyambungkan ke komando kendali BSSN yang ada di Ragunan," ujar Hadi. Ini bertujuan mengamankan data instansi pemerintah yang ada di dalam Pusat Data Nasional Sementara 2 Surabaya.

Katadata.co.id juga mengonfirmasi unggahan warganet itu kepada Telkomsigma. VP Legal and Compliance Telkomsigma Reza Topobroto mengatakan, orang yang terduga tersebut dipastikan tidak pernah terdaftar di basis data karyawan organik di Telkomsigma maupun Telkom Group.

“Berdasarkan hasil penelusuran data di Telkomsigma, adalah benar yang bersangkutan merupakan salah satu tenaga proyek berbasis kemitraan (crowdsourcing), yang sudah tidak aktif,” kata Reza kepada Katadata.co.id, Jumat (5/7).

Ia menegaskan, saat ini Telkomsigma berfokus melaksanakan Disaster Recovery Plan dan menunggu hasil digital forensik dari instansi resmi yang ditunjuk pemerintah terkait peretasan Pusat Data Nasional Sementara 2 Surabaya.

Katadata.co.id juga mengonfirmasi hal itu kepada Indosat, induk usaha LintasArta.

"Kami menegaskan bahwa oknum yang diduga terkait dengan Pusat Data Nasional sudah tidak memiliki hubungan dan/atau kontrak kerja dengan Lintasarta sejak Agustus 2021," kata SVP Head of Corporate Communications Indosat Ooredoo Hutchison, Steve Saerang kepada Katadata.co.id, Kamis (4/7).

Ia menyampaikan bahwa Indosat Ooredoo Hutchison atau IOH Group bersama seluruh anak usaha, termasuk Lintasarta, senantiasa menjunjung integritas dan menjaga kepercayaan pelanggan dalam menjalankan pekerjaan. 

"Hal ini merupakan bagian dari penerapan Tata Kelola Perusahaan yang Baik demi menjaga kualitas layanan dan pengalaman bagi seluruh pelanggannya," ia menambahkan.