Roku baru saja mengumumkan bahwa mereka akan mewajibkan penggunaan Two-Factor Authentication (2FA) untuk semua pengguna, setelah hampir 600.000 akun pelanggan berhasil diakses oleh pihak tidak bertanggung jawab.
Langkah ini diambil sebagai bentuk peningkatan keamanan setelah terjadi dua insiden besar yang melibatkan ratusan ribu akun.
Apa yang Terjadi?
Tahun ini, sekitar 591.000 akun pelanggan Roku berhasil diakses oleh penyerang.
Insiden ini terjadi dalam dua kejadian terpisah:
-
Insiden pertama memengaruhi sekitar 15.363 akun
-
Insiden kedua memengaruhi sekitar 576.000 akun
Dalam kasus tersebut, penyerang menggunakan akun yang berhasil mereka akses untuk membeli langganan streaming dan perangkat keras (hardware) menggunakan metode pembayaran yang sudah tersimpan di akun korban.
Kabar baiknya, Roku menyatakan bahwa semua pemilik akun yang terdampak telah menerima pengembalian dana (refund). Selain itu, penyerang tidak berhasil mengakses informasi sensitif seperti:
-
Nomor kartu kredit lengkap
-
Informasi pembayaran lengkap lainnya
Roku juga menegaskan bahwa nomor jaminan sosial (Social Security Number), tanggal lahir, dan data pribadi sensitif lainnya tidak terdampak.
Bagaimana Akun Bisa Diretas?
Menurut surat pemberitahuan kebocoran data yang dirilis pada 8 Maret di Amerika Serikat, sistem internal Roku sendiri tidak diretas.
Perusahaan menjelaskan bahwa akun-akun tersebut kemungkinan besar diakses melalui serangan yang disebut credential stuffing.
Roku menyatakan tidak ada bukti bahwa:
-
Data login berasal dari kebocoran di sistem Roku
-
Sistem keamanan Roku berhasil ditembus
Sebaliknya, besar kemungkinan data login (username dan password) tersebut diambil dari kebocoran di situs atau layanan lain, kemudian digunakan untuk mencoba masuk ke akun Roku.
Hal ini biasanya terjadi karena banyak orang menggunakan password yang sama di berbagai akun online.
Apa Itu Credential Stuffing?
Credential stuffing adalah jenis serangan siber di mana penyerang menggunakan kombinasi username dan password yang sudah bocor dari layanan lain, lalu mencoba menggunakannya untuk login ke berbagai situs berbeda.
Karena banyak orang menggunakan password yang sama untuk banyak akun, teknik ini sering kali berhasil.
Serangan ini mirip dengan teknik lain yang disebut password spraying, tetapi ada perbedaannya:
-
Credential stuffing menggunakan kombinasi username dan password yang sudah diketahui.
-
Password spraying mencoba satu password umum (misalnya “123456” atau “password”) ke banyak akun berbeda dengan harapan ada yang cocok.
Jika seseorang menggunakan password yang sama untuk email, media sosial, dan layanan streaming, maka ketika salah satu layanan mengalami kebocoran, semua akun lainnya ikut berisiko.
Mengapa 2FA Menjadi Wajib?
Sebagai respons terhadap insiden ini, Roku kini mewajibkan semua pengguna mengaktifkan Two-Factor Authentication (2FA).
2FA adalah sistem keamanan tambahan yang mengharuskan pengguna memasukkan dua bentuk verifikasi saat login, misalnya:
-
Password
-
Kode OTP yang dikirim ke ponsel atau aplikasi autentikator
Dengan 2FA, meskipun password diketahui oleh orang lain, akun tetap sulit diakses karena penyerang tidak memiliki kode verifikasi kedua.
Pentingnya Menggunakan Password yang Unik
Josh Hickling dari Pentest People mengatakan bahwa insiden ini menunjukkan pentingnya menggunakan password yang unik untuk setiap akun.
Jika pengguna tidak menggunakan ulang password yang sama, serangan seperti ini tidak akan berdampak besar.
Saat ini sudah banyak alat bantu seperti:
-
Apple Keychain
-
1Password
-
LastPass
Aplikasi password manager ini membantu menyimpan dan membuat password yang berbeda untuk setiap akun tanpa perlu menghafalnya.
Dengan cara ini, jika satu akun bocor, akun lainnya tetap aman.
Gunakan Password yang Kuat
Badan Keamanan Siber Nasional Inggris (NCSC) menyarankan membuat password dari tiga kata acak yang digabungkan. Cara ini membuat password lebih panjang, mudah diingat, tetapi tetap kuat.
Contohnya:
-
KopiLangitBiru
-
MotorHujanSenja
Password seperti ini lebih aman dibandingkan password pendek atau kombinasi sederhana.
Jangan Gunakan Email sebagai Faktor Kedua
Chris Burton dari Pentest People juga menekankan bahwa Multi-Factor Authentication (MFA) sebaiknya tidak menggunakan email sebagai faktor kedua, terutama jika email tersebut juga menggunakan password yang sama.
Idealnya, gunakan aplikasi autentikator atau metode verifikasi terpisah (out-of-band) seperti:
-
Aplikasi Google Authenticator
-
Microsoft Authenticator
-
SMS ke nomor berbeda
Semakin terpisah metode verifikasinya, semakin aman akun Anda.
Waspada terhadap Phishing
Roku juga mengingatkan pengguna untuk berhati-hati terhadap:
-
Email phishing
-
Link palsu untuk reset password
-
Pesan mencurigakan yang mengatasnamakan Roku
Jika menerima email yang meminta login atau reset password, pastikan selalu memeriksa alamat pengirim dan hindari mengklik tautan yang mencurigakan.
Kesimpulan
Kasus ini menunjukkan bahwa keamanan akun bukan hanya tanggung jawab perusahaan, tetapi juga pengguna.
Meskipun sistem Roku tidak diretas, penggunaan password yang sama di berbagai layanan membuat ratusan ribu akun tetap bisa diakses oleh penyerang.
Pelajaran penting dari kejadian ini adalah:
-
Gunakan password unik untuk setiap akun
-
Gunakan password manager
-
Aktifkan 2FA atau MFA
-
Jangan klik link mencurigakan
-
Waspada terhadap email phishing
Keamanan digital dimulai dari kebiasaan kecil. Dengan langkah sederhana seperti password unik dan 2FA, Anda bisa mengurangi risiko menjadi korban serangan siber secara signifikan.
Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan jespro indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia.
Hubungi kami sekarang atau kunjungi jesproindonesia.com untuk informasi lebih lanjut!