--- url: 'https://www.corbado.com/id/blog/pelanggaran-data-amerika-serikat' title: '10 Pelanggaran Data Terbesar di Amerika Serikat [2026]' description: 'Pelajari tentang pelanggaran data terbesar di Amerika Serikat, mengapa AS menjadi target menarik bagi serangan siber, dan bagaimana hal ini bisa dicegah.' lang: 'id' author: 'Alex' date: '2026-05-27T08:44:17.520Z' lastModified: '2026-05-27T08:47:25.623Z' keywords: 'pelanggaran data AS, pelanggaran data Amerika Serikat, pelanggaran data terbesar AS 2025, serangan siber AS, kebocoran data pengguna AS, pelanggaran data nasional AS, peretasan data AS, perusahaan AS diretas' category: 'Authentication' --- # 10 Pelanggaran Data Terbesar di Amerika Serikat [2026] ## Key Facts - **Pelanggaran Yahoo** (2013-2016) tetap menjadi yang terbesar dalam sejarah AS, membobol sekitar 3 miliar akun dan menurunkan nilai akuisisi Yahoo oleh Verizon sebesar 350 juta dolar AS. - Pelanggaran data AS mencapai **3.158 insiden** pada tahun 2024, berdampak pada lebih dari 1,35 miliar orang, naik dari 1.862 pelanggaran pada tahun 2021. - **Pelanggaran National Public Data** (2024) mengekspos sekitar 1,3 miliar catatan individu termasuk Nomor Jaminan Sosial melalui basis data yang salah konfigurasi, yang meruntuhkan perusahaan tersebut. - Sebagian besar pelanggaran besar di AS bermula dari **kesalahan konfigurasi dasar** seperti basis data yang tidak aman dan standar kriptografi yang usang seperti MD5 dan SHA-1, bukan karena serangan siber yang canggih. - **Eksploitasi API dan pengikisan massal** memungkinkan terjadinya pelanggaran pada LinkedIn (700 juta akun) dan Facebook (533 juta akun) tanpa penyerang memerlukan akses langsung ke sistem. ## 1. Pengantar: Mengapa Pelanggaran Data Menjadi Risiko bagi Organisasi di AS? Pelanggaran data di Amerika Serikat telah meningkat dalam beberapa tahun terakhir, menjadi perhatian kritis bagi organisasi, individu, dan juga badan pemerintah. Jumlah insiden yang dilaporkan mencapai 3.158 pada tahun 2024 saja, yang berdampak pada lebih dari 1,35 miliar orang. Ini adalah peningkatan yang mengkhawatirkan dari tahun 2021, mengingat hanya 1.862 pelanggaran yang tercatat pada tahun tersebut. Industri-industri seperti [layanan keuangan](https://www.corbado.com/passkeys-for-banking), [perawatan kesehatan](https://www.corbado.com/passkeys-for-healthcare), dan layanan profesional telah terpukul sangat keras, menyoroti kerentanan dan daya tariknya bagi penjahat siber. Pelanggaran di bidang [perawatan kesehatan](https://www.corbado.com/passkeys-for-healthcare), secara khusus, terbukti sangat parah dan persisten. Pada tahun 2023, 725 pelanggaran data terkait [perawatan kesehatan](https://www.corbado.com/passkeys-for-healthcare) yang mengejutkan mengekspos lebih dari 133 juta catatan, dengan insiden terbesarnya saja memengaruhi 11,3 juta individu. Menjelang April 2024, hanya 54 pelanggaran perawatan kesehatan yang telah berdampak pada lebih dari 15 juta pasien. Di blog ini, kami menganalisis sepuluh pelanggaran data paling signifikan dalam sejarah AS, mengungkap bagaimana hal itu terjadi, dampaknya, dan pelajaran yang harus dipelajari organisasi untuk melindungi diri dari ancaman di masa depan. ## 2. Mengapa AS Menjadi Target Menarik untuk Pelanggaran Data? Sebagai negara dengan ekonomi terbesar di dunia, AS adalah target yang menarik bagi penjahat siber karena beberapa kriteria berbeda yang dimilikinya: ### 2.1 Ekonomi dan Volume Data Terbesar AS berdiri sebagai ekonomi terbesar di dunia dan pusat global untuk sektor-sektor yang meliputi teknologi, keuangan, perawatan kesehatan, dan [ritel](https://www.corbado.com/passkeys-for-e-commerce), masing-masing menghasilkan dan menyimpan sejumlah besar data sensitif. Repositori data yang luas tersebut merupakan target yang menguntungkan bagi para penyerang yang mencari keuntungan finansial, kekayaan intelektual yang berharga, atau informasi pribadi untuk pencurian identitas dan penipuan. ### 2.2 Kehadiran Korporasi Besar dan Badan Pemerintah Sebagai kekuatan ekonomi global, AS menaungi banyak perusahaan Fortune 500, perusahaan multinasional, dan badan [pemerintah](https://www.corbado.com/passkeys-for-public-sector) penting yang bertanggung jawab atas infrastruktur dan keamanan nasional. Organisasi-organisasi ini mengelola basis data yang luas berisi data pelanggan, karyawan, dan operasional yang sensitif. Sifat kritis dari informasi ini meningkatkan kemungkinan dan tingkat keparahan pelanggaran, memperkuat potensi kerusakan yang ditimbulkan oleh insiden siber. ### 2.3 Tambal Sulam Peraturan Lanskap peraturan yang terfragmentasi di berbagai negara bagian dan industri di AS menciptakan standar keamanan siber yang tidak konsisten, yang mengakibatkan potensi celah dalam perlindungan dan penegakan data. Dibandingkan dengan negara-negara yang memiliki peraturan keamanan siber yang ketat dan seragam, pendekatan tambal sulam ini menurunkan hambatan bagi para penjahat siber, yang memudahkan mereka untuk mengidentifikasi dan mengeksploitasi kerentanan. Secara kolektif, faktor-faktor ini memposisikan AS sebagai lingkungan yang sangat rentan dan menarik bagi ancaman siber, yang mengharuskan tindakan keamanan siber yang proaktif. ## 3. Pelanggaran Data Terbesar di AS Di bawah ini, Anda menemukan daftar pelanggaran data terbesar di AS. Pelanggaran data ini diurutkan berdasarkan jumlah akun yang terdampak secara menurun. ### 3.1 Pelanggaran Data Yahoo (2013–2016) ![logo yahoo](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/yahoo_logo_8b560de880.png) | Detail | Informasi | | ------------------------ | ----------------------------------------------------- | | Tanggal | Agustus 2013, Desember 2014 (diungkapkan 2016) | | Jumlah Pelanggan Terdampak | Sekitar 3 miliar akun pengguna | | Data yang Dibobol | - Nama | | | - Alamat email | | | - Nomor telepon | | | - Tanggal lahir | | | - Kata sandi yang dienkripsi dan tidak dienkripsi | | | - Pertanyaan dan jawaban keamanan (tidak dienkripsi) | Dalam serangkaian serangan siber antara tahun 2013 dan 2016, Yahoo mengalami apa yang tetap menjadi pelanggaran data terbesar dalam sejarah AS, membobol sekitar 3 miliar akun pengguna. Informasi yang dicuri meliputi nama, alamat email, nomor telepon, tanggal lahir, kata sandi yang di-hash (menggunakan MD5, yang dianggap tidak aman), serta pertanyaan dan jawaban keamanan yang tidak dienkripsi. Pelanggaran tersebut dikaitkan dengan aktor yang didukung negara, dengan kecurigaan mengarah ke agen Rusia. Dampaknya sangat besar: Reputasi Yahoo mengalami kerusakan parah, dan rencana akuisisinya oleh Verizon pada tahun 2017 didiskon sebesar 350 juta dolar AS sebagai konsekuensi langsung. Kritik dipusatkan pada pengungkapan publik yang tertunda oleh Yahoo dan praktik keamanan yang sudah ketinggalan zaman, khususnya penggunaan algoritma hashing kata sandi yang lemah dan kegagalan untuk mengenkripsi data keamanan penting dengan benar. **Metode pencegahan:** - Gunakan standar enkripsi yang lebih kuat seperti bcrypt untuk kata sandi dan informasi sensitif - Tetapkan protokol pemberitahuan pelanggaran yang cepat - Terapkan autentikasi multi-faktor (misalnya kunci sandi) untuk mengurangi dampak dari pencurian kredensial ### 3.2 Pelanggaran National Public Data (NPD) (2024) ![logo nationalpublicdata](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/nationalpublicdata_logo_d2b3193a52.png) | Detail | Informasi | | ------------------------ | ------------------------------------- | | Tanggal | Maret 2024 | | Jumlah Pelanggan Terdampak | Sekitar 1,3 miliar individu | | Data yang Dibobol | - Nama | | | - Alamat | | | - Tanggal lahir | | | - Nomor Jaminan Sosial (SSN) | | | - Nomor telepon | | | - Alamat email | Pada bulan Maret 2024, National Public Data (NPD), sebuah pialang data utama, mengalami salah satu pelanggaran terbesar dalam sejarah AS, yang mengekspos informasi sensitif pada sekitar 1,3 miliar individu. Basis data yang salah konfigurasi memungkinkan akses tidak sah ke catatan pribadi yang sangat terperinci, termasuk nama lengkap, alamat fisik, tanggal lahir, nomor jaminan sosial, nomor telepon, dan alamat email. Pelanggaran tersebut mengakibatkan hampir 2,9 miliar catatan data disusupi secara keseluruhan. Data yang diekspos menimbulkan risiko pencurian identitas dan penipuan yang parah, yang menyebabkan keruntuhan operasi NPD dalam beberapa bulan. Investigasi mengungkapkan bahwa perusahaan tidak memiliki tindakan keamanan mendasar seperti kontrol akses basis data yang tepat dan penilaian kerentanan rutin. Peristiwa ini menghidupkan kembali perdebatan publik atas regulasi dan pengawasan pialang data yang menangani volume informasi pribadi yang masif tanpa kewajiban keamanan yang memadai. **Metode pencegahan:** - Terapkan kontrol akses dan mekanisme autentikasi yang ketat untuk basis data sensitif - Lakukan audit dan pengujian sistem secara berkala untuk mencari kerentanan dan kesalahan konfigurasi - Enkripsi informasi pribadi saat tidak digunakan (at rest) maupun dalam transit untuk meminimalkan risiko eksposur ### 3.3 Pelanggaran Data Real Estate Wealth Network (2023) ![logo realestatewealthnetwork](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/realestateealthnetwork_logo_db03ed9502.png) | Detail | Informasi | | ------------------------ | --------------------------------- | | Tanggal | September 2023 | | Jumlah Pelanggan Terdampak | Sekitar 1,5 miliar catatan | | Data yang Dibobol | - Nama | | | - Alamat | | | - Detail kepemilikan properti | | | - Alamat email | | | - Nomor telepon | | | - Informasi properti selebritas | Pada September 2023, Real Estate Wealth Network (REWN), agregator data properti, mengalami pelanggaran besar-besaran karena basis data yang tidak aman dibiarkan terekspos ke internet tanpa autentikasi. Sekitar 1,5 miliar catatan data diakses, meliputi nama, alamat rumah, catatan kepemilikan, nomor telepon, dan detail sensitif terkait properti, yang melibatkan tokoh publik dan selebritas terkenal. Pelanggaran tersebut menarik perhatian media yang signifikan karena tereksposnya kepemilikan real estat individu-individu berprofil tinggi, yang meningkatkan kekhawatiran tentang keamanan pribadi dan serangan yang ditargetkan. Para ahli mengkritik REWN karena gagal menerapkan protokol keamanan siber dasar, seperti autentikasi basis data, enkripsi, dan pencatatan akses. **Metode pencegahan:** - Wajibkan autentikasi untuk semua basis data, bahkan yang berisi data yang bersumber dari publik - Lakukan uji penetrasi dan audit keamanan secara berkala - Pantau aset yang terekspos secara berkelanjutan untuk mendeteksi kesalahan konfigurasi lebih awal ### 3.4 Pelanggaran Data Facebook (2019/2021) ![logo facebook](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/facebook_logo_8b87543336.png) | Detail | Informasi | | ------------------------ | ---------------------------------------------- | | Tanggal | Awalnya dikikis pada 2019, dipublikasikan 2021 | | Jumlah Pelanggan Terdampak | Sekitar 533 juta individu | | Data yang Dibobol | - Nama | | | - Alamat email | | | - Nomor telepon | | | - Lokasi | | | - ID Facebook | Pada tahun 2019, penjahat siber mengeksploitasi fitur importir kontak Facebook untuk mengikis informasi pribadi sekitar 533 juta pengguna di 106 negara. Meskipun Facebook pada awalnya membatasi pengikisan data massal akhir tahun itu, himpunan data yang dikompilasi muncul kembali secara publik pada April 2021 ketika diposting di sebuah forum peretasan untuk akses gratis. Berbeda dengan pelanggaran tradisional di mana penyerang langsung mengakses sistem internal, insiden ini melibatkan pemanenan data massal terotomatisasi menggunakan fungsionalitas platform yang tersedia. Himpunan data yang bocor mencakup nama, nomor telepon, alamat email, dan informasi lokasi, yang menciptakan risiko serius untuk phishing, serangan pertukaran SIM, dan bentuk eksploitasi identitas lainnya. Facebook menghadapi kritik luas karena meremehkan implikasi dari data yang dikikis dan atas responsnya yang lambat terhadap pengungkapan tersebut. **Metode pencegahan:** - Batasi eksposur data melalui API dan kontrol akses fitur yang lebih ketat - Pantau perilaku pengikisan yang tidak biasa menggunakan alat deteksi otomatis - Secara proaktif beritahukan pengguna dan regulator ketika pengikisan data skala besar terjadi ### 3.5 Pelanggaran Data LinkedIn (2021) ![logo linkedin](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/linkedin_logo_8fee003ed9.png) | Detail | Informasi | | ------------------------ | ----------------------------------------------------- | | Tanggal | Ditemukan pada Juni 2021 | | Jumlah Pelanggan Terdampak | Sekitar 700 juta individu | | Data yang Dibobol | - Nama | | | - Alamat email | | | - Nomor telepon | | | - Data geolokasi | | | - URL profil LinkedIn | | | - Informasi profesional (jabatan, perusahaan) | Pada Juni 2021, LinkedIn mengalami insiden pengikisan data besar-besaran, mengekspos informasi dari sekitar 700 juta pengguna (sekitar 92% dari basis penggunanya pada saat itu). Penyerang mengeksploitasi API LinkedIn untuk secara sistematis mengumpulkan informasi profil publik, termasuk nama, email, nomor telepon, data geolokasi, dan riwayat profesional. Himpunan data yang dikikis kemudian diposting untuk dijual di forum web gelap. Meskipun LinkedIn menegaskan bahwa tidak ada data pribadi yang dibobol dan bahwa informasinya dapat dilihat secara publik, pakar keamanan siber menekankan bahwa volume dan agregasi data masih memiliki risiko yang signifikan untuk phishing yang ditargetkan, rekayasa sosial, dan pencurian identitas. Insiden tersebut menyoroti garis kabur antara mengikis data "publik" dan pelanggaran privasi serius bila diagregasi dalam skala besar. **Metode pencegahan:** - Terapkan pembatasan laju (rate limiting) dan perlindungan CAPTCHA pada API untuk mencegah pengikisan otomatis - Tingkatkan sistem deteksi anomali untuk mengidentifikasi pemanenan data skala besar - Edukasi pengguna tentang pembatasan informasi yang terlihat secara publik di profil mereka ### 3.6 Pelanggaran Data Exactis (2018) ![logo exactis](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/exactis_logo_1bc0e15a00.png) | Detail | Informasi | | ------------------------ | -------------------------------------------------------------------- | | Tanggal | Juni 2018 | | Jumlah Pelanggan Terdampak | Sekitar 340 juta catatan | | Data yang Dibobol | - Nama | | | - Alamat | | | - Nomor telepon | | | - Alamat email | | | - Atribut pribadi (mis., minat, kebiasaan, tingkat pendapatan) | Pada Juni 2018, Exactis, sebuah perusahaan pemasaran dan agregasi data yang berbasis di AS, secara tidak sengaja mengekspos basis data yang berisi sekitar 340 juta catatan individu dan bisnis. Pelanggaran tersebut ditemukan oleh seorang peneliti keamanan yang menemukan basis data tersebut dapat diakses secara online tanpa perlindungan kata sandi apa pun. Data yang terekspos meliputi nama, alamat rumah, nomor telepon, alamat email, dan atribut pribadi yang sangat terperinci seperti minat, kebiasaan, dan informasi keuangan. Meskipun tidak ada konfirmasi bahwa aktor jahat mengakses data tersebut sebelum diamankan, keluasan dan perincian informasi yang bocor menimbulkan risiko tinggi untuk pencurian identitas, phishing, dan serangan yang ditargetkan lainnya. Insiden ini menarik perhatian pada praktik pialang data yang sebagian besar tidak diatur dan memicu seruan untuk undang-undang privasi data yang lebih kuat di Amerika Serikat. **Metode pencegahan:** - Selalu wajibkan autentikasi untuk akses basis data - Batasi jumlah informasi pribadi sensitif yang dikumpulkan dan disimpan - Lakukan audit dan tinjauan keamanan secara berkala untuk memastikan langkah perlindungan data yang tepat telah diterapkan ### 3.7 Pelanggaran Data First American Financial Corporation (2019) ![logo firstamericanco](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/firstamericanco_logo_bb3cd30796.png) | Detail | Informasi | | ------------------------ | ---------------------------------- | | Tanggal | Mei 2019 | | Jumlah Pelanggan Terdampak | Sekitar 885 juta catatan | | Data yang Dibobol | - Nama | | | - Alamat | | | - Nomor Jaminan Sosial (SSN) | | | - Nomor rekening bank | | | - Hipotek dan dokumen keuangan | | | - Catatan pajak | Pada bulan Mei 2019, First American Financial Corporation, salah satu penyedia layanan [asuransi](https://www.corbado.com/passkeys-for-insurance) kepemilikan dan penyelesaian terbesar di Amerika Serikat, mengekspos sekitar 885 juta catatan sensitif melalui kerentanan situs web. Akibat kontrol akses yang tidak tepat, siapa pun yang memiliki tautan URL valid ke sebuah dokumen dapat melihat dokumen lain yang tidak terkait hanya dengan mengubah digit pada URL, tanpa perlu autentikasi. Dokumen yang bocor mencakup informasi keuangan dan pribadi yang kritis, seperti Nomor Jaminan Sosial, detail rekening bank, catatan hipotek, dan dokumen pajak, yang menempatkan pelanggan pada risiko besar terhadap penipuan dan pencurian identitas. Pelanggaran ini sangat mengkhawatirkan mengingat sifat yang sangat sensitif dari catatan transaksi real estat, dan menggarisbawahi celah besar dalam praktik keamanan aplikasi web di seluruh sektor keuangan. **Metode pencegahan:** - Terapkan kontrol akses yang tangguh dan pemeriksaan autentikasi untuk repositori dokumen - Lakukan pengujian keamanan menyeluruh (mis., uji penetrasi) sebelum men-deploy aplikasi ke publik - Pantau dan audit pola akses aplikasi untuk mendeteksi perilaku abnormal lebih awal ### 3.8 Pelanggaran Data Ticketmaster (2024) ![Logo Ticketmaster](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Ticketmaster_Logo_d2bac93500.png) | Detail | Informasi | | ------------------------ | ---------------------------------------- | | Tanggal | Mei 2024 | | Jumlah Pelanggan Terdampak | Sekitar 560 juta individu | | Data yang Dibobol | - Nama | | | - Alamat | | | - Alamat email | | | - Nomor telepon | | | - Data sebagian pembayaran (pada beberapa kasus) | Pada bulan Mei 2024, Ticketmaster, salah satu perusahaan tiket terbesar di dunia, mengalami pelanggaran data besar-besaran yang memengaruhi sekitar 560 juta pelanggan di seluruh dunia, dengan proporsi yang signifikan berbasis di Amerika Serikat. Penyerang dilaporkan memperoleh akses tidak sah melalui lingkungan penyimpanan cloud pihak ketiga yang diretas, yang mengekspos nama pelanggan, alamat rumah dan email, nomor telepon, dan, dalam beberapa kasus, detail sebagian kartu [pembayaran](https://www.corbado.com/passkeys-for-payment). Pelanggaran tersebut menghidupkan kembali kekhawatiran tentang risiko vendor pihak ketiga dan keamanan cloud, terutama untuk platform konsumen skala besar yang menangani transaksi keuangan. Hal ini juga menimbulkan pertanyaan tentang kepatuhan perusahaan terhadap standar perlindungan data modern seperti PCI DSS dan GDPR. Ticketmaster menghadapi berbagai tuntutan hukum perwakilan kelompok (class-action) dan investigasi peraturan setelah insiden tersebut. **Metode pencegahan:** - Perkuat manajemen risiko vendor dan audit penyedia pihak ketiga secara berkala - Enkripsi semua informasi pelanggan yang disimpan, khususnya data yang berkaitan dengan [pembayaran](https://www.corbado.com/passkeys-for-payment) - Terapkan model akses zero-trust untuk lingkungan cloud guna membatasi area serangan (attack surface) ### 3.9 Pelanggaran Data MySpace (2016) ![logo Myspace](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/Myspace_logo_580b308ab1.png) | Detail | Informasi | | ------------------------ | --------------------------------------------- | | Tanggal | Mei 2016 (data diyakini dari 2013 atau sebelumnya) | | Jumlah Pelanggan Terdampak | Sekitar 427 juta akun | | Data yang Dibobol | - Nama pengguna | | | - Alamat email | | | - Kata sandi (di-hash SHA-1, tanpa salt) | Pada Mei 2016, seorang peretas yang dikenal sebagai "Peace" mendaftarkan sejumlah besar data pengguna MySpace untuk dijual di web gelap, yang mencakup sekitar 427 juta akun. Meskipun data tersebut tampak berasal dari pelanggaran yang terjadi pada atau sebelum tahun 2013, data tersebut tidak ditemukan hingga bertahun-tahun kemudian. Catatan yang terekspos mencakup nama pengguna, alamat email, dan kata sandi yang dilindungi secara lemah dengan hashing SHA-1 tanpa salt, membuatnya sangat rentan untuk diretas. Meskipun popularitas MySpace telah menurun saat pelanggaran tersebut muncul ke permukaan, insiden tersebut tetap menimbulkan risiko karena banyak pengguna mendaur ulang kata sandi di beberapa platform. Akibatnya, kredensial dari pelanggaran MySpace dapat digunakan untuk serangan penjejalan kredensial (credential stuffing) di layanan lain. Peristiwa tersebut menggarisbawahi kebutuhan kritis akan praktik hashing kata sandi yang kuat dan deteksi pelanggaran tepat waktu. **Metode pencegahan:** - Gunakan algoritma hashing kata sandi modern dan aman seperti bcrypt atau Argon2 - Putar praktik kriptografi secara teratur dan migrasi menjauhi algoritma usang - Pantau kebocoran kredensial dan beri tahu pengguna untuk segera mengatur ulang kata sandi setelah pelanggaran ### 3.10 Pelanggaran Data JPMorgan Chase (2014) ![logo jpmorgan](https://s3.eu-central-1.amazonaws.com/corbado-cloud-staging-website-assets/jpmorgan_logo_4b01a6f2b8.png) | Detail | Informasi | | ------------------------ | --------------------------------- | | Tanggal | Diungkapkan pada Juli 2014 | | Jumlah Pelanggan Terdampak | Sekitar 83 juta akun | | Data yang Dibobol | - Nama | | | - Alamat email | | | - Nomor telepon | | | - Alamat fisik | | | - Metadata pelanggan internal | Pada tahun 2014, JPMorgan Chase mengungkapkan salah satu pelanggaran paling signifikan yang pernah melanda sektor keuangan AS, yang memengaruhi sekitar 76 juta rumah tangga dan 7 juta usaha kecil. Penyerang memperoleh akses melalui akun karyawan yang disusupi, yang mengeksploitasi kelemahan dalam infrastruktur jaringan bank. Meskipun tidak ada informasi keuangan seperti nomor rekening, kata sandi, atau Nomor Jaminan Sosial yang dicuri, penyerang berhasil mendapatkan nama, alamat, alamat email, dan nomor telepon. Pelanggaran tersebut menarik perhatian besar karena peran penting bank dalam ekonomi AS dan membunyikan alarm di seluruh industri [layanan keuangan](https://www.corbado.com/passkeys-for-banking) mengenai kesiapan keamanan siber. Hal itu menyebabkan pengawasan peraturan yang lebih ketat dan mendorong banyak lembaga keuangan untuk mengevaluasi kembali kerangka keamanan siber mereka, khususnya mengenai perlindungan akun karyawan dan segmentasi jaringan. **Metode pencegahan:** - Terapkan autentikasi multi-faktor (MFA) untuk semua akun internal dan eksternal - Terapkan segmentasi jaringan yang kuat untuk membatasi pergerakan lateral jika terjadi penyusupan - Uji dan perbarui protokol keamanan untuk manajemen akses karyawan secara teratur ## 4. Tren dalam Pelanggaran Data AS Setelah melihat pelanggaran data terbesar yang terjadi di AS hingga tahun 2025, kami melihat beberapa observasi yang berulang di seluruh pelanggaran ini: ### 4.1 Kesalahan Konfigurasi Dasar sama bermasalahnya dengan Serangan Siber canggih Benang merah di antara banyak pelanggaran data terbesar adalah bahwa hal tersebut bukan hasil dari serangan yang sangat canggih melainkan dari kesalahan konfigurasi dasar dan kerentanan yang terabaikan. Basis data terbuka tanpa perlindungan kata sandi, kontrol akses yang lemah, dan API yang tidak diamankan dengan benar berulang kali memungkinkan penyerang masuk dengan mudah. Dalam kasus seperti pelanggaran National Public Data dan Real Estate Wealth Network, cukup memindai internet untuk mencari sistem yang tidak aman saja sudah cukup untuk mendapatkan akses ke miliaran catatan. Ini menyoroti bahwa berinvestasi pada kebersihan keamanan siber dasar, seperti kontrol akses, enkripsi yang tepat, dan pengerasan sistem, dapat mencegah banyak dari insiden ini. ### 4.2 Informasi Pribadi adalah Target Utama Tren penting lainnya adalah penargetan dan eksposur informasi pribadi yang sensitif secara konsisten. Di hampir semua pelanggaran, set data menyertakan nama, alamat, tanggal lahir, alamat email, nomor telepon, dan, dalam kasus yang paling merusak, Nomor Jaminan Sosial. Keluasan detail pribadi yang diekspos meningkatkan risiko pencurian identitas, serangan phishing, dan penipuan keuangan secara dramatis. Misalnya, menerapkan kebijakan kata sandi dan kontrol akses yang kuat sangat penting untuk [pencegahan penipuan pada lembaga nonprofit](https://donorbox.org/nonprofit-blog/fraud-prevention). Organisasi, bahkan di luar industri yang diatur seperti keuangan atau perawatan kesehatan, perlu memperlakukan pengumpulan data pribadi apa pun dengan standar keamanan tertinggi karena nilainya bagi penyerang tetap tinggi secara konsisten. ### 4.3 Perlindungan Kata Sandi dan Kriptografi Lemah Praktik manajemen kata sandi yang buruk dan perlindungan kriptografi yang usang semakin memperburuk konsekuensi dari beberapa pelanggaran. Dalam insiden seperti Yahoo dan MySpace, kata sandi entah disimpan menggunakan algoritma hashing lemah seperti MD5 dan SHA-1 atau tidak diberi salt yang memadai, sehingga mudah untuk diretas begitu dicuri. Hal ini secara signifikan memperluas dampaknya dengan memungkinkan penyerang menggunakan kembali kata sandi di seluruh layanan lain melalui penjejalan kredensial. Bahkan saat kata sandi dicuri, metode enkripsi yang tangguh dan standar kriptografi modern dapat sangat membatasi risiko lanjutan bagi pengguna dan perusahaan. ### 4.4 Eksploitasi API dan Pengikisan Data Massal Evolusi penting dalam taktik pelanggaran adalah meningkatnya ketergantungan pada eksploitasi API dan pengikisan data sebagai ganti dari teknik peretasan tradisional. Pelanggaran seperti LinkedIn dan Facebook menunjukkan bahwa para penyerang semakin memanfaatkan API yang tidak diamankan secara memadai atau fitur yang menghadap publik untuk memanen data pengguna dalam jumlah besar. Walaupun perusahaan sering meremehkan pengikisan dengan merujuk pada sifat publik dari data tersebut, agregasi dan kombinasi informasi yang dikikis dapat menciptakan basis data yang kuat dan berbahaya. Tren ini menekankan perlunya organisasi untuk menerapkan kontrol pembatasan laju, pemantauan, dan autentikasi yang ketat pada semua API dan antarmuka publik, dengan memperlakukannya setegas sistem back-end. ## 5. Kesimpulan Pelanggaran data terbesar dalam sejarah AS mengungkapkan pola yang jelas dan konsisten: sebagian besar insiden dapat dicegah. Bukannya sebagai akibat dari serangan siber yang sangat maju, banyak pelanggaran bermula dari kesalahan dasar: basis data yang tidak aman, standar kriptografi yang usang, perlindungan API yang tidak memadai, dan memandang rendah nilai informasi pribadi. Kegagalan ini memungkinkan penyerang mengakses volume data sensitif yang masif dengan relatif mudah, mengekspos individu pada risiko seperti pencurian identitas, penipuan keuangan, dan serangan yang ditargetkan. Bagi organisasi dari semua ukuran dan industri, pelajaran bahwa fundamental keamanan siber tidak bisa diabaikan menjadi sangat jelas. Mengamankan data pribadi membutuhkan tidak hanya tindakan teknis yang kuat tetapi juga pendekatan proaktif terhadap konfigurasi sistem, standar kriptografi, manajemen risiko vendor, dan deteksi pelanggaran. Seiring dengan jumlah data yang dikumpulkan tumbuh secara eksponensial, begitu pula tanggung jawab untuk melindunginya. ## Pertanyaan yang Sering Diajukan ### Mengapa praktik keamanan Yahoo dianggap tidak memadai selama pelanggaran data tahun 2013-2016? Yahoo menyimpan kata sandi menggunakan MD5, algoritma yang lemah secara kriptografi, dan membiarkan pertanyaan serta jawaban keamanan sepenuhnya tidak dienkripsi. Pelanggaran tersebut dikaitkan dengan aktor yang didukung negara dan diyakini sebagai agen Rusia. Yahoo menghadapi kritik keras karena menunda pengungkapan publik, dan baru mengungkapkan cakupan penuhnya pada tahun 2016 meskipun pelanggaran telah terjadi bertahun-tahun sebelumnya. ### Bagaimana pelanggaran National Public Data mengekspos miliaran catatan tanpa serangan siber yang canggih? Basis data yang salah konfigurasi di National Public Data memungkinkan akses tidak sah tanpa autentikasi apa pun pada Maret 2024. Perusahaan tersebut tidak memiliki langkah-langkah keamanan mendasar termasuk kontrol akses basis data yang tepat dan penilaian kerentanan rutin. Pelanggaran tersebut mengakibatkan hampir 2,9 miliar catatan data disusupi dan secara langsung menyebabkan keruntuhan operasional NPD dalam beberapa bulan. ### Mengapa pengikisan API dianggap sebagai risiko pelanggaran data yang serius meskipun data yang dikikis secara teknis bersifat publik? Penyerang mengeksploitasi API yang kurang aman untuk memanen data dalam skala besar, seperti yang ditunjukkan oleh pelanggaran LinkedIn (700 juta pengguna, sekitar 92% dari basis penggunanya) dan pelanggaran Facebook (533 juta pengguna). Mengumpulkan titik-titik data publik secara individual dapat menciptakan profil pribadi yang terperinci, memungkinkan phishing, pertukaran SIM, dan pencurian identitas dalam skala besar. ### Apa kegagalan hashing kata sandi yang memperburuk dampak lanjutan dari pelanggaran Yahoo dan MySpace? Yahoo menggunakan hashing MD5 dan MySpace menggunakan SHA-1 tanpa salt, keduanya merupakan standar yang lemah secara kriptografi. Metode ini membuat kredensial yang dicuri mudah diretas, memungkinkan penyerang melakukan serangan penjejalan kredensial di seluruh platform lain di mana pengguna mendaur ulang kata sandi mereka. Algoritma modern seperti bcrypt atau Argon2 dapat mengurangi risiko lanjutan ini secara signifikan. ### Bagaimana lanskap peraturan AS yang terfragmentasi meningkatkan kerentanan organisasi terhadap pelanggaran data? Tambal sulam peraturan tingkat negara bagian dan industri di AS menciptakan standar keamanan siber yang tidak konsisten, menyisakan celah dalam perlindungan dan penegakan data. Dibandingkan dengan negara-negara yang memiliki peraturan ketat dan seragam, pendekatan ini menurunkan hambatan bagi penjahat siber untuk mengidentifikasi dan mengeksploitasi kerentanan. Pialang data seperti NPD dan Exactis beroperasi dengan kewajiban keamanan minimal meskipun menyimpan miliaran catatan pribadi yang sensitif.