Sebanyak 35.000 Akun PayPal Dibobol Hacker, Data Pengguna Dicuri

KOMPAS.com - Platform pembayaran dan transfer uang online, PayPal, pekan ini mengonfirmasi ada sekitar 35.000 akun PayPal telah diretas. Perusahaan mengatakan aksi peretasan ini terjadi pada 6-8 Desember 2022 lalu.

Selama dua hari tersebut peretas disinyalir telah mencuri sejumlah data dan informasi penting terkait akun-akun yang mereka bobol.

Data dan informasi yang dicuri mencakup nama pengguna, tanggal lahir, alamat rumah, nomor kartu identitas, riwayat transfer, informasi kartu kredit atau kartu debit yang terhubung dengan akun, dan masih banyak lagi.

Meski beberapa identitas pribadi pengguna dicuri, PayPal memastikan bahwa akun-akun tersebut tidak melakukan transaksi mencurigakan atau yang menguras rekening pengguna. 

Baca juga: ChatGPT Disalahgunakan Hacker untuk Bikin Malware

PayPal melanjutkan puluhan ribu akun yang diretas tersebut saat ini diklaim sudah berhasil diamankan. Akun-akun tersebut dibobol menggunakan metode credential stuffing. 

Credential stuffing adalah suatu metode serangan siber (cyber attack), di mana peretas membobol sebuah akun menggunakan beragam jenis kata sandi (password) yang sudah bocor dan tersebar di internet. 

Artinya, hacker yang membobol sekitar 35.000 akun ini tidak meretas server PayPal untuk melakukan aksinya. 

Memasukkan password berkali-kali

Dengan metode credential stuffing ini oeretas menargetkan sejumlah akun pengguna yang dianggap memakai kata sandi yang sudah bocor dan tersebar di internet.

Biasanya, tak sedikit pengguna memakai password yang sama untuk banyak akun, dan salah satu akun online milik mereka bisa saja termasuk dalam suatu kasus kebocoran data. 

Pelaku credential stuffing PayPal ini lantas memasukkan beragam password yang bocor ini ke akun PayPal yang diincar berkali-kali. Hacker menggunakan beragam kombinasi, hingga akun tersebut terbuka.

Percobaan pembobolan akun secara berulang-ulang ini konon tidak dilakukan secara manual, melainkan secara otomatis memakai suatu software.

Pada saat pembobolan akun massal ini terjadi, PayPal mengeklaim pihaknya langsung melakukan investigasi internal, dan pada 20 Desember 2022 lalu, investigasi tersebut rampung dengan kesimpulan bahwa 35.000 akun tadi telah dibobol.

Baca juga: Peras Twitter Rp 3 Miliar, Hacker Ancam Bocorkan Data 400 Juta Pengguna

Kala itu juga, PayPal mengatakan bahwa pihaknya telah melakukan pencegahan pembobolan akun lebih lanjut, yaitu dengan cara me-reset kata sandi akun-akun yang terdampak. 

"Ketika pengguna yang akunnya terdampak masuk (login), maka mereka otomatis harus membuat kata sandi baru, supaya bisa masuk ke akun PayPal," tulis PayPal, dikutip KompasTekno dari BleepingComputer, Jumat (20/1/2023).

Selain me-reset password, PayPal juga mengatakan bahwa akun-akun yang terdampak bakal mendapatkan layanan keamanan tambahan dari Equifax selama dua tahun secara gratis. 

Seperti disebutkan di atas, PayPal memastikan bahwa pelaku credential stuffing sekitar 35.000 akun ini tidak melakukan transaksi atau transfer uang melalui akun-akun tersebut. 

Kendati begitu, mereka mengimbau para pengguna untuk mengamankan akunnya sendiri, yaitu dengan cara mengugnakan kata sandi panjang dengan ombinasi unik seperti simbol, huruf, nomor, dan lain sebagainya. 

PayPal juga mengingatkan pengguna untuk mengaktifkan fitur two-factor authentication (2FA) untuk menghindari peretasan yang hanya menggunakan password, seperti peretasan yang mengandalkan credential stuffing di atas.