Banyak pengguna Yahoo yang tak menyadari bahwa akun miliknya disusupi hacker atau peretas.
Lantas bagaimana tanggapan Yahoo?
Yahoo tak membantah adanya serangan tersebut dan mengatakan bahwa semuanya berakar pada sebuah peristiwa lampau.
Penyusupan yang terjadi di sejumlah akun pengguna Yahoo itu memang tergolong unik.
Pasalnya, peretas menggunakan cara khusus untuk masuk ke akun-akun tersebut tanpa menggunakan password sama sekali.
“Berdasarkan investigasi kami, peretas tersebut masuk ke akun Anda menggunakan teknik cookie palsu. Teknik serupa pernah mereka gunakan pada kurun waktu dua tahun lalu lalu,” demikian keterangan Yahoo yang dikirimkan pada para pengguna terdampak.
Singkatnya, cookie palsu ini berfungsi untuk menipu browser yang digunakan untuk membuka akun Yahoo.
Saat peretas membuka akun Yahoo tertentu, cookie tersebut mengatakan pada browser bahwa pengguna sebelumnya sudah log in dan tidak perlu memasukkan password lagi. Maka akun pun akan terbuka begitu saja.
Seperti ditulis “cnet,” hari ini Senin, 20 Februari 2017, Yahoo mengungkapkan peristiwa penyusupan itu menggunakan cookie dan terjadi pada Desember 2016 lalu.
Perusahaan pun telah mengumumkannya ke publik.
Namun, pengumuman mengenai penyusupan menggunakan cookie tersebut kalah populer ketimbang berita penyusupan lain yang diumumkan secara bersamaan.
Kala itu Yahoo memang turut mengumumkan bahwa pada empat tahun silam pernah terjadi pembobolan keamanan yang membuat hacker berhasil mencuri informasi pribadi milik satu miliar penggunanya.
Pembobolan akun Yahoo itu tercatat sebagai sebuah peristiwa peretasan data terbesar yang pernah terjadi.
Akhirnya, informasi mengenai pembobolan itulah yang mendapat sorotan lebih besar, ketimbang masalah peretasan memanfaatkan cookie.
Yahoo sendiri, mengatakan masalah penyusupan menggunakan cookie palsu itu tengah diselesaikan.
Seiring dengan investigasi yang sedang dilakukan, Yahoo telah menghapus cookie tersebut dan berusaha memberitahu pemilik akun-akun yang terinfeksi.
Yahoo enggan bicara lebih jauh mengenai penyebab adanya sebagian pengguna yang hingga sekarang masih mendapat pemberitahuan mengenai penyusupan menggunakan teknik cookie palsu.
Jumlah pengguna yang terdampak pun tidak diungkapkan.
September lalu, sebanyak lima ratus juta pengguna layanan internet Yahoo dilaporkan menjadi korban peretasan. Jumlah itu kini membludak menjadi satu miliar pengguna.
Hal tersebut diumumkan secara resmi oleh Yahoo. Hanya saja, perusahaan yang pernah jaya pada awal dua ribuan tersebut belum bisa mengidentifikasi pelaku peretasan.
Yahoo masih akan terus menyelidiki oknum di balik kejahatan maya yang menimpa perusahaan dan berimplikasi pada pengguna, sebagaimana dilaporkan WSJ .
Diketahui, dalam kurun waktu lima tahun terakhir, Yahoo sudah beberapa kali menjadi korban peretasan
Tiga tahun silam sistem korporasi Yahoo juga jadi korban keusilan peretas. Namun angka peretasan kala itu tak sebanyak tahun ini.
Oktober tahun lalu, Verizon mengindikasikan ingin bernegosiasi ulang terkait harga. Hal ini menyusul terungkapnya kasus peretasan Yahoo.
Menurut sumber dalam, Verizon telah mempelajari kelemahan sistem keamanan Yahoo selama beberapa minggu. Verizon pun siap untuk duduk bersama dengan Yahoo membicarakan ulang kesepakatan harga.
Setelah dikonfirmasi ke Verizon, perusahaan tersebut seakan mengiyakan pernyataan sang sumber yang identitasnya enggan disebutkan.
“Kami akan mengevaluasi situasi ini seiring dengan investigasi yang dilakukan Yahoo,” kata perwakilan Verizon.
“Dampak dari penemuan terbaru akan kami kaji sebelum mencapai kesepakatan final,” ia menambahkan.
Sementara itu, juru bicara Yahoo percaya diri bahwa peretasan yang terjadi tak akan mengguncang nilai perusahaannya. Ia mengatakan selalu berkomunikasi dengan Verizon.
“Kami terus berkoordinasi dengan eksekutif Verizon selama investigasi,” kata dia.
Apakah Anda harus panik sekarang?
Apa yang harus dilakukan untuk melindungi akun pada masa depan?
Langkah pertama, kata pakar keamanan internet Graham Cluley, adalah mengganti kata sandi atau password yang dipakai untuk mengakses layanan Yahoo.
Disarankan pula untuk mengganti kata sandi e-mail-e-mail lain dan pastikan kata sandi itu berbeda-beda. Ini perlu ditekankan karena demi alasan praktis, banyak orang yang memakai kata sandi yang sama untuk beberapa e-mail yang berbeda.
“Jawaban atas pertanyaan keamanan (security question) juga sebaiknya diganti,” kata Cluley.
Para pakar memahami bahwa pengguna punya banyak akun, dan manajemen kata sandi tak lagi gampang. Itu sebabnya disarankan untuk memakai aplikasi khusus untuk mengatur kata sandi, seperti Password Chef, LastPass, dan 1password.
Semakin banyak penyedia layanan yang sekarang menawarkan verifikasi dua tahap, misalnya dengan mengirim kode masuk ke ponsel melalui SMS. Jika layanan semacam ini tersedia, sebaiknya dimanfaatkan.
Dengan demikian, orang lain tak bisa dengan mudah memasuki akun yang Anda punya, meski ia punya kata sandinya.
Berbicara soal keamanan, Alan Woodward, guru besar di Universitas Surrey, Inggris, mengatakan bahwa pengguna harus ekstra hati-hati dan tak begitu saja menulis informasi penting, seperti tanggal lahir dan alamat, kecuali memang sangat perlu.
“Saya misalnya, punya dua versi tanggal lahir, yang sebenarnya dan yang selalu saya pakai untuk mengisi formulir online,” kata Woodward.
Ini penting karena biasanya tanggal lahir sering dipakai sebagai alat untuk melakukan verifikasi.
“Apakah saya menulis alamat asli? Tentu saja tidak, kecuali untuk hal-hal yang terkait dengan urusan uang, misalnya untuk tagihan listrik, gas, dan air,” katanya.
Pada akhirnya, banyak penyedia layanan yang memungkinkan pengguna mengecek aktivitas, dengan memberikan informasi peranti dan lokasi tempat akun diakses.
