Pengguna Spotify aktif saat ini diketahui mencapai 286 juta dengan 130 juta diantaranya merupakan pengguna Spotify Premium. Dengan angka pengguna aktifnya yang besar tidak mengherankan jika kemudian spotify seperti gula manis yang mengundang banyak semut-semut nakal dunia digital.
Berdasar statistik dari statista di Indonesia dari hasil survey diketahui bahwa 37,5 persen responden melaporkan bahw amereka lebih suka menggunakan Spotify untuk mendengar musik. Angka ini juga tidak kecil mengingat jumlah penduduk Indonesia yang termasuk 3 terbesar di dunia.
Fakta ini juga menjadi perhatian bagi pengguna Spotify di tanah air mengingat insiden terakhir yang mengakibat kebocoran ratusan ribu akun Spotify. Berikut paparan ESET seputar kebocoran data akun Spotify:
Insiden ini diketahui oleh para peneliti yang menemukan database berisi 380 juta catatan individu, termasuk diantaranya kredensial login untuk membobol ratusan ribu akun Spotify.
Selama bertahun-tahun, pengguna mengeluh bahwa akun Spotify mereka diretas setelah kata sandi diubah, daftar putar baru akan muncul di profil mereka, atau akun keluarga mereka memiliki orang asing yang ditambahkan dari negara lain.
Dari temuan para peneliti inilah akhirnya bisa diketahui dan dirinci bagaimana database yang berisi lebih dari 380 juta catatan, termasuk kredensial login, secara aktif digunakan untuk meretas akun Spotify dapat menjelaskan pelanggaran akun ini.
Serangan kredensial
Harta karun data disimpan di server Elasticsearch yang ditemukan oleh vpnMentor. Baik asal maupun pemilik database tetap tidak diketahui. Namun, para peneliti dapat memvalidasi kebenaran data dengan menghubungi Spotify, yang mengonfirmasi bahwa informasi tersebut telah digunakan untuk menipu perusahaan dan penggunanya.
Setiap record dalam database yang ditemukan berisi nama login (alamat email), kata sandi, dan apakah kredensial berhasil masuk ke akun Spotify. Tidak diketahui bagaimana 300 juta catatan dikumpulkan, tetapi kemungkinan melalui pelanggaran data atau “koleksi” kredensial yang besar yang biasanya dirilis oleh pelaku ancaman secara gratis.
Sementara VPNMentor dalam laporan tentang database yang terekspos di Internet yang berisi 300 juta kombinasi nama pengguna dan kata sandi yang digunakan dalam serangan isian kredensial terhadap Spotify.
Serangan umum yang digunakan untuk meretas akun disebut serangan isian kredensial, yaitu ketika pelaku ancaman menggunakan kumpulan besar kombinasi nama pengguna/sandi yang bocor dalam pelanggaran keamanan sebelumnya untuk mendapatkan akses ke akun pengguna di platform online lainnya.
Kata sandi lemah
Dalam kasus ini, insiden tersebut tidak berasal dari Spotify. Basis data yang terekspos adalah milik pihak ketiga yang menggunakannya untuk menyimpan kredensial masuk Spotify.
Kredensial ini kemungkinan besar diperoleh secara ilegal atau berpotensi bocor dari sumber lain yang digunakan untuk serangan pengisian kredensial terhadap Spotify.
Keberhasilan berkelanjutan dari serangan isian kredensial dapat, sebagian besar, dikaitkan dengan pengguna yang menggunakan kata sandi yang buruk. Orang-orang sering melakukan banyak kesalahan umum dalam pembuatan dan penggunaan kata sandi.
Seperti daur ulang kata sandi atau bahkan membagikan kredensial akses mereka dengan orang lain. Untuk mengilustrasikan pilihan meragukan yang dibuat orang ketika membuat kata sandi mereka.
Semua dapat dilihat dengan sangat jelas dalam daftar kata sandi terburuk tahun 2020 yang di puncak singgasana diduduki oleh kata sandi seperti “123456” dan “123456789”.
Untuk melindungi data sensitif yang disimpan di akun, Anda harus mulai dengan memilih kata sandi yang kuat dan unik, atau bahkan kata sandi yang lebih baik.
Demi kenyamanan, dapat juga menggunakan password manager yang akan melakukan semua pekerjaan berat untuk Anda, termasuk membuat dan menyimpan semua kode sandi yang sulit dipecahkan, jadi Anda hanya perlu mengingat satu kata sandi utama. Untuk lapisan keamanan tambahan, aktifkan juga otentikasi multi-faktor jika memungkinkan.