Kembali ke blog

Kebocoran 24 Miliar Kata Sandi: Bagaimana Industri Penggantian Akun Bekerja

Pada 12 Juni 2026, peneliti Cybernews menemukan server yang tidak diproteksi dengan kata sandi berkapasitas 8,3 TB dengan 24 miliar akun yang dicuri. Mari kita bahas apa yang ada di dalamnya, bagaimana penggantian akun dilakukan melalui proxy residensial dan mobile, serta mengapa pasar gelap untuk kata sandi yang dicuri bahkan berdampak pada web scraping yang legal dan multi-akun.

📅7 Juli 2026
Kebocoran 24 Miliar Kata Sandi: Bagaimana Industri Penggantian Akun Bekerja
```html

24 miliar login dan kata sandi yang dicuri telah terkumpul di satu tempat — di server terbuka, yang dapat diakses oleh siapa saja. Temuan para peneliti Cybernews — bukan sekadar "kebocoran pada N juta". Ini adalah etalase dari seluruh industri: infostiler mencuri kredensial, daftar kombinasi mengumpulkannya, dan armada bot menjalankannya melalui situs, menyamarkan setiap upaya sebagai pengguna nyata dengan menggunakan proxy residensial dan mobile. Mari kita bahas apa yang ditemukan, bagaimana penggantian akun (credential stuffing) dilakukan, dan mengapa pasar gelap ini juga berdampak pada web scraping yang legal dan multi-akun.

Apa yang terjadi: 8,3 TB dan 24 miliar catatan di satu server

Pada 12 Juni 2026, peneliti Cybernews menemukan kluster Elasticsearch terbuka dengan ukuran 8,3 terabyte, yang berisi 24 miliar catatan dengan kredensial. Basis data ini tidak dilindungi oleh kata sandi atau autentikasi apa pun — siapa saja yang mengetahui alamatnya dapat membacanya. Segera setelah publikasi temuan tersebut, server tersebut dibawa offline, sehingga peneliti tidak sempat menghubungi pemiliknya.

Data ini dikumpulkan dari 36 sumber, dan ini adalah detail kunci. Sebagian besar — yang disebut "koleksi" (sekitar 22,6 miliar catatan), tetapi struktur sisanya juga sangat mencolok:

  • lebih dari 1,7 miliar catatan diambil langsung dari saluran Telegram — lebih dari 30 dari 36 sumber ternyata adalah saluran di mana data yang dicuri diperdagangkan secara terbuka;
  • sekitar 260 juta catatan — dari saluran yang merujuk ke "Darkside";
  • sekitar 150 juta — dump lokal dari basis data;
  • sekitar 146 juta — kompilasi dari kebocoran sebelumnya (daftar kombinasi).

Di dalamnya — bukan sekadar "email dan kata sandi". Sebagian besar data adalah log infostiler: malware seperti RedLine, Lumma, dan Vidar, yang mengambil semua yang ada dari browser yang terinfeksi. Dalam log yang lebih lengkap terdapat kata sandi yang disimpan, cookie sesi dan token — termasuk yang memungkinkan untuk melewati autentikasi dua faktor, data pengisian otomatis, sidik jari perangkat, dan kadang-kadang dompet kripto. Setiap catatan biasanya disertai dengan URL layanan yang sesuai dengan kata sandi — yaitu instruksi siap pakai "ke mana harus login".

Satu lagi hal yang mengkhawatirkan: berdasarkan tanda-tanda tidak langsung (di dalam data ditemukan tautan ke materi terbaru hingga tahun 2026) terlihat bahwa pemilik secara teratur memperbarui basis data. Ini bukan tempat pembuangan arsip, tetapi alat yang hidup dan diperbarui.

Bagaimana kata sandi yang bocor dijadikan uang: penggantian akun

Daftar "login-kata sandi" itu sendiri tidak berguna, sampai diuji di situs nyata. Ini dilakukan oleh credential stuffing — penggantian akun: bot otomatis mengambil pasangan yang dicuri dan mencoba login secara massal di ratusan layanan, berharap bahwa orang menggunakan satu kata sandi di beberapa tempat.

Skala masalah ini terlihat jelas dalam data Verizon DBIR untuk tahun 2025. Penggantian akun menyumbang median 19% dari semua upaya login harian dalam log penyedia SSO, di perusahaan besar angkanya mencapai 25%, dan pada hari terburuk yang tercatat — hingga 44% dari seluruh lalu lintas login. Kredensial yang dicuri menjadi vektor awal dalam 22% dari semua peretasan yang terkonfirmasi. Hanya dalam tahun 2025, sekitar 2 miliar pasangan unik dikumpulkan dari daftar kombinasi di dark web — dan sekarang di satu server terdapat 24 miliar catatan sekaligus.

Dan di sinilah bagian yang langsung berkaitan dengan industri proxy dimulai. Agar tidak terdeteksi pada upaya pertama, penyerang mengalirkan permintaan melalui kumpulan proxy residensial dan mobile: setiap upaya login berasal dari alamat IP baru dari penyedia nyata atau operator seluler. Untuk melindungi situs, ini tidak terlihat seperti satu mesin mencurigakan yang mencoba ribuan kali, tetapi seperti seribu "pengguna biasa" dari berbagai kota. Perlindungan klasik berdasarkan frekuensi permintaan dari satu IP hampir tidak berguna dengan rotasi seperti itu.

Mengapa ini berdampak pada web scraping yang legal dan multi-akun

Sepertinya, apa hubungannya dengan mereka yang melakukan pengumpulan data yang jujur, otomatisasi SMM, atau mengelola beberapa akun untuk bisnis? Karena sistem anti-bot tidak membedakan niat — mereka membedakan pola. Semakin aktif penjahat menyamarkan penggantian akun di bawah lalu lintas nyata melalui IP residensial, semakin agresif Cloudflare, Akamai, DataDome, dan AWS WAF memperketat aturan untuk semua.

Akibatnya — pergeseran deteksi dari tingkat IP ke tingkat identitas. Saat ini, filter tidak hanya melihat alamat, tetapi juga bagaimana perilaku klien dan bagaimana tampilan sidik jari jaringannya:

  • TLS- dan HTTP-fingerprinting (JA3/JA4) — jika handshake tidak cocok dengan browser yang dinyatakan, klien ditandai sebagai mencurigakan;
  • analisis perilaku waktu — pada manusia nyata, jeda antara tindakan "berombak", sedangkan skrip sering menghasilkan interval yang hampir identik;
  • anomali dalam rasio keberhasilan — login yang jarang berhasil, tersebar di banyak akun, — tanda tangan khas dari stuffing;
  • kekosongan dalam header dan JavaScript — bot yang tidak merender halaman sepenuhnya kehilangan cookie dan nilai yang ditetapkan oleh JS.

Itulah sebabnya pada tahun 2026, scraping semakin menjadi permainan identitas, bukan perlombaan untuk jumlah IP — kami telah membahas mekanisme TLS- dan JA4-fingerprinting secara terpisah. Untuk proyek yang jujur, kesimpulannya sederhana: kualitas dan "kebersihan" proxy kini lebih penting daripada jumlahnya. IP yang digunakan kemarin untuk mencoba kata sandi orang lain, hari ini sudah ada dalam daftar hitam sistem reputasi — dan menarik lalu lintas legal Anda bersamanya.

Ada juga dimensi reputasi. Skandal seputar botnet dari Smart TV yang diretas dan pembongkaran jaringan proxy gelap baru-baru ini menunjukkan bahwa sebagian dari pasar "residensial" didukung oleh sumber yang meragukan. Untuk bisnis, ini adalah sinyal untuk memilih penyedia dengan asal IP yang transparan dan KYC yang jelas, bukan kumpulan termurah dengan kualitas yang tidak diketahui. Proxy residensial legal dan proxy mobile dari jaringan yang terverifikasi memberikan reputasi "bersih" yang diinginkan, tanpa risiko terjebak dalam segmen lalu lintas credential-stuffing.

Apa yang harus dilakukan sekarang

Bagi pengguna biasa, perlindungan utama dari kebocoran semacam ini bukanlah kata sandi itu sendiri, tetapi keunikannya. Infostiler yang mencuri kata sandi forum Anda berbahaya hanya sejauh kata sandi yang sama juga digunakan untuk email dan bank.

  • Kata sandi unik untuk setiap layanan dan pengelola kata sandi, agar tidak perlu diingat. Penggantian akun hanya hidup pada penggunaan ulang.
  • Autentikasi dua faktor atau passkeys pada akun-akun kritis — email, bank, toko, media sosial. Bahkan dengan kata sandi yang bocor, tanpa faktor kedua lebih sulit untuk masuk.
  • Ingat tentang token sesi. Infostiler mencuri cookie yang bertahan setelah memasukkan kata sandi dan 2FA — jadi jika ada kecurigaan infeksi, tidak hanya perlu mengganti kata sandi, tetapi juga menyelesaikan sesi aktif di semua perangkat.
  • Jangan jalankan sembarangan. Infostiler menyebar melalui iklan berbahaya, "pembaruan browser" palsu, perangkat lunak yang diretas, cheat game, ekstensi mencurigakan, dan serangan ClickFix, di mana korban dibujuk untuk menjalankan perintah sendiri.

Bagi mereka yang secara legal mengotomatiskan pekerjaan dengan situs, pelajarannya berbeda: pisahkan identitas dan jangan campurkan. Setiap set akun — IP bersih terpisah, profil browser terpisah dengan sidik jari yang konsisten. Inilah cara skenario anti-deteksi dibangun, dan itulah sebabnya kumpulan proxy "abu-abu" yang murah saat ini lebih berbahaya bagi proyek daripada tidak ada sama sekali.

Kesimpulan

24 miliar catatan di satu server yang tidak diproteksi kata sandi — ini bukan rekor untuk rekor, tetapi gambaran ekonomi yang berfungsi: infostiler di pintu masuk, daftar kombinasi di tengah, penggantian akun melalui proxy residensial di keluaran. Selama orang terus menggunakan ulang kata sandi, konveyor ini akan menguntungkan, dan perlindungan anti-bot akan semakin ketat. Yang kalah adalah mereka yang mengabaikan kebersihan: pengguna biasa tanpa pasangan kata sandi unik dan 2FA — dan bisnis yang mencoba menghemat pada kebersihan infrastruktur. Di dunia di mana deteksi dibangun pada identitas, bukan pada IP, taruhan pada transparansi dan kualitas tidak lagi menjadi kemewahan.

```