HargaTerkini.id - Terdapat laporan yang beredar di media bahwa 183 juta kata sandi "Gmail" "dicuri" dalam sebuah pelanggaran. Namun, menurut Satnam Narang, Insinyur Riset Staf Senior di Tenable, klaim-klaim itu sangat keliru menggambarkan realitas situasi tersebut.
Menurutnya, Google sendiri tidak terdampak oleh pelanggaran tersebut. Sebaliknya, para peneliti mengumpulkan data ancaman dari berbagai sumber, termasuk 183 juta kredensial unik yang terkait dengan berbagai situs web, termasuk Gmail.
Sumber data ini, kata dia, merupakan kombinasi data yang bocor dalam pelanggaran lain, serta data yang diperoleh dari pencuri informasi (infostealer), perangkat lunak berbahaya yang ditemukan pada mesin yang disusupi.
"Perangkat lunak ini, sesuai namanya, dirancang untuk mencuri informasi, termasuk nama pengguna, alamat email, dan kata sandi. Jika pengguna masuk ke akun Gmail, lembaga keuangan, media sosial, dan akun lainnya, informasi ini akan tercatat dalam log pencuri tersebut," terangnya, seperti keterangan resmi yang dikutip Jumat (21/11/2025).
Para peneliti mengumpulkan kumpulan data besar dan membagikannya dengan Troy Hunt dari HaveIBeenPwned, sebuah situs web yang mengkatalogkan data pelanggaran dan memberi tahu pengguna yang berlangganan layanan tersebut setiap kali alamat email mereka mengalami pelanggaran data.
Berdasarkan temuan Hunt, sebagian besar data ini (91%) telah dilihat sebelumnya, dengan sekitar 16,4 juta alamat terlihat untuk pertama kalinya dalam log pencurian ini.
Tentu saja, penting untuk dicatat bahwa tidak semua data di sini mungkin valid, sehingga angka 16,4 juta tersebut bisa jadi lebih rendah.
Menurutbta salah satu tantangan paling umum terkait kredensial akun yang dicuri adalah penggunaan kembali kata sandi.
"Jadi, ketika data seperti ini tersebar luas, tantangan utamanya adalah, jika pengguna telah menggunakan kembali kata sandi tersebut di situs web lain, penyerang dapat mencoba melakukan serangan 'credential-stuffing', yaitu memasukkan beberapa pasangan alamat email/kata sandi ke situs web untuk melihat situs mana yang berhasil login," katanya.
Langkah-langkah keamanan yang dapat digunakan pengguna antara lain dengan tidak menggunakan kembali kata sandi, memanfaatkan pengelola kata sandi, baik yang sudah terpasang di perangkat mereka (misalnya Android atau iOS), maupun pihak ketiga (1Password, Bitwarden, dll.).
Selain itu, memanfaatkan autentikasi multifaktor, yang mewajibkan faktor kedua untuk masuk. Ini termasuk kode sandi sekali pakai SMS, aplikasi autentikator yang menghasilkan kode sandi setiap 60 detik, serta token perangkat keras seperti Yubikey atau Kunci Keamanan Titan.
"Ini adalah beberapa langkah keamanan yang dapat digunakan pengguna untuk melindungi akun mereka," pungkasnya.