Jakarta - Aplikasi streaming musik Spotify mengatur ulang kata sandi secara bergulir ke lebih dari 350.000 akun pengguna. Tindakan ini untuk mengurangi risiko data dibajak, setelah ditemukan basis data terbuka yang berisi kredensial pengguna.
Melansir laman ZDnet, Sabtu, 28 November 2020, peneliti vpnMentor Noam Rotem dan Ran Locar menemukan sebuah basis data Elasticsearch terbuka saat mereka melakukan proyek pemetaan situs perusahaan.
Basis data yang ditemukan sebesar 72 GB dan berisi lebih dari 380 juta catatan kata sandi dan e-mail. Bahkan alamat e-mail, informasi identitas pribadi, negara tempat tinggal, hingga kredensial login, seperti nama pengguna dan kata sandi juga bisa dilihat melalui data tersebut.
"Data itu berisi lebih dari 380 juta kredensial login dan data pengguna lain yang divalidasi terhadap layanan Spotify," ujar Rotem dan Locar, sebagaimana dikutip Tagar, Sabtu, 28 November 2020.
Asal usul catatan tidak diketahui, tetapi Rotem dan Locar berpikir basis data dikompilasi dari berbagai sumber, termasuk data dump yang dicuri. Platform Spotify sendiri tidak dibobol, kredensial penggunanya kemungkinan dicuri dari sumber lain. Ini bisa terjadi jika pengguna Spotify menggunakan kembali kata sandi yang sama untuk berbagai layanan.
"Kredensial ini kemungkinan besar diperoleh secara ilegal atau berpotensi bocor dari sumber lain, yang digunakan kembali untuk serangan pengisian kredensial terhadap Spotify," ucap Rotem dan Locar.
Data yang bocor berpotensi digunakan untuk membajak akun pengguna Spotify. Skema ini termasuk serangan siber yang dikenal dengan nama penjejalan kredensial. Terkait isu ini, Spotify mengklaim, sudah mengatur ulang kata sandi pengguna dan sejauh ini belum ada laporan lebih lanjut dari mereka yang merasa akunnya dibajak.
Penjejalan kredensial ini bukan pertama kalinya menimpa Spotify. Sebelumnya, vpnMentor menemukan basis data pengguna bocor di internet pada 3 Juli dan menghubungi Spotify pada 9 Juli agar melakukan aksi pencegahan kebocoran data. Pada 10 Juli hingga 21 Juli, Spotify mengambil langkah yang sama, dengan mengatur ulang kata sandi pada akun pengguna yang ada dalam basis data itu.
Empat tahun lalu, tepatnya April 2016, data akun pengguna Spotify juga bocor di situs Pasebin, layanan penyimpan teks online. Data itu berisi informasi e-mail, nama pengguna, kata sandi, dan tipe akun gratis atau berbayar. Selain itu, juga menampilkan waktu pembaruan akun secara otomatis dan tempat pengguna mendaftar.
Tampaknya kasus penjejalan kredensial rentan terjadi. Pengguna bisa menggunakan kata sandi yang berbeda di berbagai layanan untuk mencegah risiko pembobolan data.[]
Penulis: Alfina Nur Hayati
