ShinyHunters kembali memasarkan 73 juta data pengguna hasil curian dari peretasan ke sejumlah perusahaan. Sebenarnya, data seperti ini bisa buat apa saja sih?
Dari 73 juta data pengguna itu, 1,2 juta di antaranya diklaim berasal dari situs Bhinneka. Berarti, ini kedua kalinya ShinyHunters menjebol situs asal Indonesia dalam waktu berdekatan, setelah sebelumnya menjebol Tokopedia dan menjajakan 91 juta data penggunanya di dark web.
Dilansir Zdnet, Senin (11/5/2020), hacker sendiri sebenarnya tak perlu menjual hasil curiannya ini di marketplace dark web seperti Dream Market. Terlebih lagi Dream Market adalah marketplace yang tersedia untuk ‘publik’.
Dream Market memang berlokasi di dark web, namun ini adalah tempat yang sangat terekspos ke publik karena market place ini dipenuhi oleh pihak berwajib, jurnalis, dan para pegawai dari banyak perusahaan keamanan cyber.
Jadi, siapa pun yang menjual data semacam ini di tempat yang sangat terekspos seperti itu bisa dibilang adalah orang yang memang mencari masalah. Apalagi data hasil curiannya itu sebenarnya sudah mempunyai pasarnya sendiri dan tak perlu diiklankan.
Data pengguna itu biasanya dibagi ke beberapa kategori. Seperti alamat email curian biasanya dijual ke pemilik spam botnet. Data finansial dijual ke grup yang berfokus pada penipuan online.
Sementara username dan password yang sudah dijebol dijual ke operator botnet yang punya spesialisasi dalam credetential stuffing attack. Ini adalah metode serangan di mana hacker menggunakan username dan password tersebut untuk untuk login di berbagai situs dan layanan yang berbeda. Harapannya adalah korban menggunakan username dan password yang sama di situs tersebut.
ShinyHunters = Gnosticplayers?
Menurut pakar keamanan dari Vaksincom Alfons Tanujaya, nama ShinyHunters ini sebenarnya bukanlah nama yang terkenal. Namun sepertinya adalah identitas baru yang dipakai oleh grup peretas yang sudah ada sejak lama.
“Dari skillnya sudah pasti pemain lama, mana mungkin pemain baru punya kemampuan setinggi itu. Kemungkinan nama yang dipakai sebelumnya berbeda atau memang peretas menggunakan beberapa identitas supaya sulit dilacak untuk menghindari identifikasi oleh pihak berwajib,” jelasnya.
Pemain lama yang dimaksud oleh Alfons adalah Gnosticplayers, yang merupakan sebuah grup hacker yang sering mengklaim telah meretas banyak bisnis online dan mencuri ratusan juta data penggunanya yang kemudian dijual di dark web.
GnosticPlayers adalah bagian dari sebuah komunitas underground kecil yang beranggotakan hacker dan pengumpul data. Mereka meretas perusahaan, mencuri datanya, dan menjualnya ke partner.
Mereka pernah berbicara ke Zdnet, dan mengaku punya tujuan sendiri saat menjajakan hasil curiannya itu di Dream Market, selain tentunya untuk menghasilkan uang.
Ternyata tujuannya adalah demi mencari reputasi. Gnosticplayers ingin diingat seperti hacker Peace_of_Mind (Peace). Selama 2016, grup hacker Peace tersebut meninggalkan ‘jejaknya’ di seluruh dunia dengan menjual lebih dari 800 juta data pengguna lewat marketplace TheRealDeal, dan berbagai marketplace lain.
Peace dikenal sebagai hacker yang menjual data pengguna LinkedIn (167 juta data), MySpace (360 juta data), Tumblr (68 juta data), VK (100 juta data), Twitter (71 juta data), dan masih banyak lagi.
Data-data yang dijual oleh Peace pada 2016 ini kemudian akhirnya dirilis ke domain publik dan kini tersedia secara luas. Aksi Peace inilah yang kemudian membuat serangan credential stuffing menjadi benar-benar berbahaya saat ini.
Inilah yang tampaknya ingin diikuti oleh Gnosticsplayers, yang terlihat tak kalah berbahayanya. Pada 2019 saja mereka sudah menjajakan 932 juta data pengguna di Dream Market.
Meskipun Gnosticsplayers sejauh ini tak menjebol situs besar (secara global), tetap saja aksi mereka berbahaya karena banyak pengguna yang masih menggunakan username dan password sama untuk berbagai situs dan layanan, yang membuat mereka rawan terkena serangan credential stuffing.