15 Pelanggaran Data Terbesar di Australia [2026]

1. Pengantar: Mengapa Pelanggaran Data merupakan Risiko bagi Semua Organisasi?#

Di dunia yang saling terhubung saat ini, pentingnya keamanan siber menjadi lebih nyata. Seiring dengan berkembangnya teknologi digital, taktik penjahat siber pun ikut berkembang, yang berujung pada lonjakan pelanggaran data di seluruh dunia. Di antara negara-negara yang paling terkena dampak dari peningkatan serangan siber ini adalah Australia, yang telah menyaksikan serangkaian pelanggaran data signifikan dalam beberapa tahun terakhir, berdampak pada jutaan orang. Pelanggaran ini tidak hanya mengekspos informasi sensitif tetapi juga menyoroti kebutuhan mendesak akan solusi keamanan tingkat lanjut untuk melindungi data pengguna.

Perjalanan Australia untuk menjadi pemimpin global dalam keamanan siber ditandai dengan tantangan maupun kemajuan. Negara tersebut telah mengambil langkah proaktif untuk meningkatkan keamanan siber, dengan inisiatif seperti National Cyber Security Strategy 2023-2030, memiliki Menteri Keamanan Siber sendiri, dan penerapan Kerangka Kerja Essential Eight. Namun, terlepas dari upaya ini, frekuensi dan skala pelanggaran data terus meningkat.

Postingan blog ini memberikan gambaran umum mengenai pelanggaran data terbesar di Australia (berdasarkan jumlah pengguna yang terkena dampak), mengeksplorasi faktor-faktor yang menjadikan negara ini sebagai target yang menarik bagi penjahat siber, dan menjelaskan mengapa bahkan organisasi yang belum pernah diretas pun kini berada di bawah ancaman.

Kami mengumpulkan data dari pelanggaran data terbesar dari berbagai sumber (misalnya Webber Insurance, Cyber Daily, Laporan notifiable data breaches OAIC dari Juli hingga Desember 2023) dengan fokus khusus pada tahun 2024 dan membahas implikasi pelanggaran ini bagi individu dan bisnis.

2. Mengapa Australia Menjadi Target yang Menarik untuk Pelanggaran Data?#

Australia telah mengalami peningkatan dramatis dalam pelanggaran data, khususnya pada kuartal pertama tahun 2024, di mana angka mencengangkan sebesar 1,8 juta akun pengguna telah disusupi. Hal ini mewakili peningkatan luar biasa sebesar 388% dari kuartal terakhir tahun 2023, mendorong Australia menjadi negara ke-15 paling banyak diretas secara global.

Sejak tahun 2004, sekitar 37 juta pengidentifikasi email unik di Australia telah diretas, yang sama seperti 13 akun diretas setiap menit rata-rata. Secara keseluruhan, pelanggaran ini telah menyebabkan tereksposnya total 416 juta data pribadi di Australia, termasuk 97 juta kata sandi (lihat lebih lanjut di sini dan di sini).

Beberapa faktor berkontribusi pada daya tarik Australia sebagai target penjahat siber:

1. Pertumbuhan Ekonomi Digital dan Konektivitas Tinggi: Australia memiliki ekonomi digital yang berkembang pesat. Adopsi digital yang luas ini menciptakan kumpulan target potensial yang sangat besar, mulai dari pengguna individu hingga perusahaan besar. Selain itu, tingkat konektivitas Australia yang tinggi, dengan populasi yang melek teknologi dan infrastruktur digital yang canggih, menjadikannya target yang menguntungkan bagi penjahat siber.

Diambil dari Laporan Notifiable Data Breaches Juli hingga Desember 2023

2. Pasar Gelap Membayar Rekor Jumlah Besar untuk Data Pribadi: Nilai data pribadi di pasar gelap telah melonjak, membuat kekayaan informasi digital Australia sangat diminati. Penjahat siber secara khusus tertarik pada data keuangan, rekam medis, dan basis data pemerintah.
3. Tantangan dalam Kesiapan Keamanan Siber: Terlepas dari investasi signifikan dalam keamanan siber, banyak organisasi di Australia yang masih menghadapi tantangan dalam menerapkan dan memelihara tindakan keamanan secara penuh. Sebuah survei dari Cloudflare mengungkapkan bahwa 41% bisnis di Australia mengalami setidaknya satu pelanggaran data pada tahun lalu, dengan 33% melaporkan 11 pelanggaran atau lebih dalam periode yang sama. Ini menunjukkan bahwa meskipun kesadaran mulai tumbuh, pelaksanaan strategi keamanan siber yang efektif tetap tidak konsisten, sehingga membuat banyak organisasi rentan terhadap serangan.

Diambil dari Laporan Notifiable Data Breaches Juli hingga Desember 2023

4. Pentingnya Strategis dan Pusat Inovasi: Pentingnya strategis Australia di kawasan Asia-Pasifik, ditambah dengan reputasinya sebagai pusat inovasi, juga menjadikannya target untuk spionase siber dan serangan yang disponsori negara. Sebagai pemimpin dalam menguji dan mengadopsi teknologi baru, Australia sering mendapati dirinya berada di garis bidik mereka yang berusaha mengganggu atau mengeksploitasi sistem digital mutakhir sebelum sepenuhnya diamankan.
5. Peningkatan Fokus Pemerintah pada Keamanan Siber: Fokus pemerintah Australia pada keamanan siber, yang dicontohkan dengan inisiatif seperti National Cyber Security Strategy 2023-2030 dan penunjukan Menteri Keamanan Siber khusus, telah membawa manfaat sekaligus risiko. Meskipun upaya ini bertujuan untuk memperkuat pertahanan negara, mereka juga menarik perhatian penyerang canggih yang ingin menantang dan menghindari tindakan keamanan baru.

Lonjakan pelanggaran data di Australia menyoroti perlunya postur keamanan siber yang baik. Seiring upaya negara ini untuk menjadi pemimpin di bidang ini pada tahun 2030, mereka harus mengatasi kerentanan yang ada dan membangun inisiatifnya untuk menciptakan lingkungan digital yang lebih tangguh. Solusi seperti kunci sandi, yang menawarkan autentikasi multi-faktor tahan phishing, mewakili langkah maju yang krusial dalam melindungi data pengguna dan meningkatkan keamanan siber secara keseluruhan. Selain itu, upaya perlawanan seperti pemantauan dark web dan berbagi intelijen ancaman siber akan membantu negara tersebut bersiap menghadapi potensi serangan dan mengurangi dampak pelanggaran data. Dengan berinvestasi pada teknologi baru, Australia tidak hanya dapat bertahan dari ancaman siber tetapi juga menjadi pemimpin global dalam keamanan siber.

3. Pelanggaran Data Terkemuka Terbaru di Australia#

Berikut ini, Anda akan menemukan daftar pelanggaran data terbesar di Australia. Pelanggaran data ini diurutkan berdasarkan jumlah akun pelanggan yang terdampak secara menurun. Daftar ini berfokus pada perusahaan yang berkantor pusat di Australia dan bukan perusahaan internasional tempat data dari warga negara Australia dilibatkan.

3.1 Pelanggaran Data Canva#

Pada bulan Mei 2019, raksasa teknologi asal Australia, Canva, menjadi korban pelanggaran data signifikan yang membahayakan informasi pribadi dari 137 juta pengguna di seluruh dunia. Pelanggaran ini didalangi oleh peretas yang beroperasi dengan alias "Gnosticplayers", yang berhasil menyusup ke sistem Canva dan mengakses data sensitif pengguna. Serangan ini terdeteksi oleh tim keamanan Canva saat sedang berlangsung, tetapi peretas telah mengekstraksi sejumlah besar data pada saat mereka dihentikan.

Menariknya, alih-alih praktik biasa dalam menjual data curian di forum dark web, sang peretas menghubungi langsung ke media, ZDNet, untuk menyombongkan tentang pembobolan tersebut. Tindakan pengungkapan ke publik ini jarang terjadi di dunia penjahat siber, di mana anonimitas biasanya dipertahankan untuk menghindari penegakan hukum.

Menyusul pelanggaran ini, Canva segera memberi tahu para pengguna yang terkena dampak, mendesak mereka yang memiliki kata sandi yang didekripsi untuk segera meresetnya. Selain itu, perusahaan menerapkan pengaturan ulang kata sandi wajib untuk akun yang belum memperbarui kata sandi mereka dalam enam bulan sebelumnya.

3.2 Pelanggaran Data Latitude#

Pada bulan Maret 2023, Latitude Financial, penyedia pinjaman pribadi dan layanan keuangan terkemuka di Australia, mengalami salah satu pelanggaran data paling signifikan dalam sejarah negara tersebut baru-baru ini. Awalnya, Latitude melaporkan bahwa sekitar 328.000 pelanggan terkena dampak. Namun, seiring dengan berjalannya investigasi, menjadi jelas bahwa pelanggaran ini telah membahayakan informasi pribadi dari lebih dari 14 juta individu di seluruh Australia dan Selandia Baru.

Pelanggaran tersebut terjadi ketika seorang penjahat siber memperoleh akses ke sistem Latitude menggunakan serangkaian kredensial karyawan yang dicuri. Akses yang tidak sah ini memungkinkan penyerang untuk mengekstraksi sejumlah besar data sensitif pelanggan, termasuk nama, informasi kontak, dan detail identifikasi seperti nomor SIM dan paspor. Pelanggaran ini sangat mengkhawatirkan karena banyak dari data yang disusupi berasal dari tahun 2005, yang menimbulkan pertanyaan mengapa catatan lama semacam itu masih disimpan di luar periode retensi wajib.

Pemerintah Australia merespons dengan mempertimbangkan tindakan yang lebih kuat, termasuk memperluas wewenang agensi siber federal untuk campur tangan dalam pelanggaran sektor swasta. Latitude saat ini sedang dalam investigasi atas penanganannya terhadap pelanggaran tersebut, dengan pertanyaan yang diajukan tentang praktik keamanannya dan apakah perusahaan mengambil langkah yang cukup untuk mencegah serangan semacam itu.

3.3 Pelanggaran Data MediSecure#

Pada bulan Mei 2024, MediSecure, pemain kunci dalam layanan pengiriman resep medis di Australia, menderita pelanggaran data yang signifikan yang mengekspos informasi pribadi dari 12,9 juta individu. MediSecure, yang merupakan satu dari hanya dua layanan yang memfasilitasi pengiriman resep elektronik dan kertas dari dokter ke apotek, menjadi sasaran serangan ransomware yang membahayakan basis data luas yang berisi data pasien yang sensitif. Data yang dibobol meliputi nama, alamat, dan informasi kesehatan yang terkait dengan resep yang diisi sebelum November 2023.

Serangan tersebut menimbulkan konsekuensi yang parah, tidak hanya bagi individu yang data kesehatannya terungkap, tetapi juga bagi MediSecure sebagai sebuah perusahaan. Pasca pelanggaran, MediSecure terpaksa masuk ke dalam pengawasan administrator, sebuah proses di mana administrator eksternal mengambil alih perusahaan yang sedang mengalami kesulitan keuangan sebagai upaya untuk merestrukturisasi operasinya dan mengelola pembayaran kreditur. Insiden ini menyoroti kerentanan krusial dalam sistem TI perawatan kesehatan dan dampak merusak yang dapat ditimbulkan dari pelanggaran semacam itu, baik bagi konsumen maupun bisnis.

Pemerintah Australia, bersama dengan berbagai badan pengatur, dengan cepat turun tangan untuk mengelola dampak dari pelanggaran tersebut. Respons mereka mencakup upaya untuk memitigasi dampak pada individu yang terpengaruh dan untuk memastikan bahwa kerentanan serupa ditangani dalam sistem perawatan kesehatan lainnya.

3.4 Pelanggaran Data Optus#

Pelanggaran data Optus pada September 2022 berdampak pada hampir 9,8 juta pelanggan – setara dengan hampir 40% populasi negara tersebut. Sebagai penyedia telekomunikasi terbesar kedua di Australia, Optus menjadi sasaran serangan siber yang canggih, yang dilaporkan didalangi oleh kelompok yang didukung negara (state-sponsored). Para penyerang mengakses jaringan internal Optus dan mengekstraksi berbagai informasi pribadi yang sensitif, termasuk nama, tanggal lahir, alamat, dan nomor identifikasi seperti paspor, SIM, dan ID kartu Medicare.

Pelanggaran tersebut diyakini difasilitasi melalui titik akhir API yang tidak aman, yang memungkinkan penyerang melewati langkah-langkah autentikasi dan mendapatkan akses langsung ke data. Kerentanan pada sistem Optus ini menimbulkan pertanyaan serius mengenai kecukupan langkah-langkah keamanan siber yang ada, terutama bagi perusahaan yang menangani volume data pribadi yang sangat besar.

Mengikuti pelanggaran tersebut, para penyerang memublikasikan sampel dari data yang dicuri di forum online dan menuntut tebusan sebesar 1,5 juta AUD dalam bentuk mata uang kripto. Namun, di bawah tekanan penegak hukum dan mungkin karena takut akan dampak lebih lanjut, sang peretas menarik kembali tuntutan tebusan hanya beberapa hari kemudian dan mengklaim telah menghapus data yang dicuri, mengeluarkan permintaan maaf di forum yang sama di mana tebusan awalnya di-posting.

Pelanggaran Optus memicu kritik luas terhadap infrastruktur keamanan siber Australia dan mendorong gugatan perwakilan kelompok (class-action) yang melibatkan 1,2 juta pelanggan yang terdampak pada bulan April 2023.

3.5 Pelanggaran Data Medibank#

Pada bulan Desember 2022, Medibank, salah satu penyedia asuransi kesehatan terbesar di Australia, menjadi sasaran pelanggaran data besar yang membahayakan informasi pribadi dari 9,7 juta pelanggan. Pelanggaran ini, yang diyakini didalangi oleh kelompok ransomware REvil yang terkenal yang berbasis di Rusia, melibatkan pencurian data yang sangat sensitif, termasuk rekam medis dan informasi klaim.

Insiden ini terungkap ketika REvil menerbitkan sampel data mentah sebesar 6GB di sebuah blog dark web, disertai dengan tuntutan tebusan 10 juta dolar. Rilis data ini berfungsi sebagai peringatan suram, yang mengindikasikan bahwa para penyerang memiliki informasi sensitif yang jauh lebih besar. Terlepas dari tekanan yang sangat besar, Medibank mengambil sikap tegas dan menolak membayar uang tebusan, sebuah keputusan yang dipuji sekaligus dicermati oleh para ahli keamanan siber dan masyarakat pada umumnya.

Mengikuti penolakan Medibank untuk memenuhi tuntutan tebusan, data curian tersebut dilaporkan dirilis sepenuhnya di dark web. Namun, hingga saat ini, belum ada kasus pencurian identitas atau penipuan finansial yang terkonfirmasi secara langsung terkait dengan pelanggaran tersebut. Menanggapi serangan itu, Medibank mendesak pelanggannya untuk tetap waspada, terutama berkaitan dengan pemeriksaan kredit dan upaya phishing, sambil juga mengerahkan sumber daya yang besar untuk memperkuat pertahanan keamanan sibernya.

Pelanggaran tersebut telah memicu berbagai investigasi, termasuk penyelidikan penting oleh Office of the Australian Information Commissioner (OAIC) atas praktik penanganan data Medibank. Jika terbukti lalai dalam tindakan keamanan sibernya, Medibank bisa menghadapi hukuman berat – setinggi 21,5 triliun (!) dolar.

Pelanggaran ini tidak hanya menyoroti risiko yang terkait dengan penanganan data sensitif di sektor perawatan kesehatan, tetapi juga menggarisbawahi potensi konsekuensi bagi organisasi yang gagal menerapkan perlindungan keamanan siber yang memadai.

3.6 Pelanggaran Data Qantas#

Pada bulan Juni 2025, Qantas, maskapai penerbangan terbesar di Australia, mengalami pelanggaran data signifikan yang berpotensi berdampak pada hingga 6 juta pelanggan. Pelanggaran terjadi melalui serangan rekayasa sosial (social engineering) canggih yang menargetkan pusat panggilan Qantas yang berbasis di Manila, yang menyoroti kerentanan yang dapat dimitigasi dengan perangkat lunak pusat panggilan tingkat lanjut. Seorang penjahat siber meniru identitas karyawan perusahaan, memperoleh akses tidak sah ke platform layanan pelanggan pihak ketiga dan mengekstraksi informasi pelanggan yang sensitif, termasuk nama, alamat email, nomor telepon, tanggal lahir, dan nomor frequent flyer.

Qantas dengan sigap memberi tahu pelanggan yang terkena dampak, dengan memastikan bahwa perincian keuangan, data paspor, dan kata sandi akun tidak dikompromikan. Pelanggaran tersebut menimbulkan kekhawatiran tentang keamanan fungsi layanan pelanggan krusial yang dialihdayakan (outsourcing) dan telah mendorong Qantas untuk meninjau dan memperkuat tindakan keamanannya. CEO Vanessa Hudson secara terbuka meminta maaf, menerima tanggung jawab, dan menjanjikan peningkatan menyeluruh untuk mencegah kejadian di masa mendatang.

3.7 Pelanggaran Data Early Settler#

Pada bulan Agustus 2024, Early Settler, pengecer furnitur dan perlengkapan rumah terkemuka di Australia, mengalami pelanggaran data yang signifikan yang mengekspos informasi pribadi dari 1,1 juta pelanggan.

Pelanggaran ini terdeteksi setelah akses tidak sah ke basis data pelanggan Early Settler ditemukan, meskipun metode spesifik dari pelanggaran tersebut belum diungkapkan secara publik. Perusahaan segera memberi tahu pelanggan yang terkena dampak dan mendesak mereka untuk waspada terhadap potensi upaya phishing dan bentuk penipuan identitas lainnya, yang dapat diakibatkan oleh informasi yang terekspos.

Sebagai respons atas pelanggaran tersebut, Early Settler berkomitmen untuk meningkatkan langkah-langkah keamanan siber mereka guna mencegah insiden di masa mendatang dan meyakinkan pelanggan bahwa mereka mengambil semua langkah yang diperlukan untuk mengamankan data mereka.

3.8 Pelanggaran Data Clubs NSW#

Pada bulan Mei 2024, Clubs NSW, badan puncak yang mewakili klub-klub terdaftar di New South Wales, Australia, mengalami pelanggaran data yang membahayakan informasi pribadi dari sekitar 1 juta anggotanya. Pelanggaran ini melibatkan akses tidak sah ke data sensitif, termasuk nama lengkap, alamat email, perincian keanggotaan, nomor telepon, dan alamat fisik.

Pelanggaran tersebut merupakan masalah signifikan karena paparan informasi keanggotaan, yang dapat dimanfaatkan untuk serangan phishing, pencurian identitas, dan aktivitas berbahaya lainnya. Setelah menemukan pelanggaran tersebut, Clubs NSW dengan sigap memberi tahu anggota yang terkena dampak dan menyarankan mereka untuk berhati-hati terhadap komunikasi mencurigakan yang mungkin mengeksploitasi informasi yang dikompromikan.

Metode pasti dari serangan tersebut belum diungkapkan, tetapi hal ini menyoroti kerentanan di dalam organisasi yang menangani volume data pribadi dan keanggotaan dalam jumlah besar. Insiden ini juga menarik perhatian pada perlunya praktik keamanan siber yang ditingkatkan di dalam asosiasi dan organisasi berbasis keanggotaan, yang mungkin tidak selalu memprioritaskan perlindungan data secara ketat seperti korporasi besar.

Sebagai tanggapan terhadap pelanggaran tersebut, Clubs NSW mengambil langkah-langkah untuk memperkuat infrastruktur keamanannya dan berkolaborasi dengan pakar keamanan siber untuk mencegah insiden serupa di masa depan.

3.9 Pelanggaran Data ProctorU#

Pada bulan Juli 2020, ProctorU, layanan pengawasan ujian daring yang digunakan secara luas oleh siswa jarak jauh, terlibat dalam pelanggaran data yang signifikan yang mengungkap alamat email 444.000 pengguna. Pelanggaran ini adalah bagian dari kebocoran data yang lebih besar yang memengaruhi 18 perusahaan dan membahayakan total angka fantastis sebesar 386 juta rekaman.

Meskipun tingkat keparahan pelanggarannya besar, ProctorU melaporkan bahwa tidak ada informasi keuangan atau data pribadi sensitif lainnya yang dibobol. Namun, tereksposnya alamat email, terutama yang ditautkan ke institusi pendidikan ternama, memunculkan kekhawatiran tentang potensi serangan phishing dan aktivitas berbahaya lainnya yang menargetkan pengguna yang terkena dampak.

Insiden ini menyoroti kerentanan di dalam layanan daring yang menjadi semakin penting di era pembelajaran jarak jauh.

3.10 Pelanggaran Data Tangerine Telecom#

Pada bulan Februari 2024, Tangerine Telecom, penyedia telekomunikasi terkemuka di Australia, mengalami pelanggaran data yang mengekspos informasi pribadi 232.000 pelanggannya. Data yang dibobol mencakup nama lengkap, tanggal lahir, nomor ponsel, alamat email, alamat pos, dan nomor akun Tangerine. Pelanggaran ini menimbulkan kekhawatiran serius karena sifat detail dari informasi yang terekspos, yang dapat dieksploitasi untuk pencurian identitas dan serangan phishing yang ditargetkan.

Pelanggaran tersebut diketahui saat akses tidak sah ke dalam basis data pelanggan Tangerine terdeteksi. Meskipun perusahaan bertindak dengan cepat untuk menahan pelanggaran dan memberi tahu pelanggan yang terkena dampak, insiden ini menyoroti kerentanan dari tindakan perlindungan di perusahaan telekomunikasi, yang menangani data pelanggan yang sensitif dengan volume besar.

Menyusul pelanggaran tersebut, Tangerine Telecom meyakinkan pelanggannya bahwa tidak ada informasi keuangan atau kata sandi yang dikompromikan, namun data yang terekspos masih cukup untuk menimbulkan potensi kerugian. Perusahaan ini mendesak para pelanggannya untuk waspada terhadap komunikasi yang mencurigakan dan memantau akun mereka dari setiap aktivitas tidak biasa.

3.11 Pelanggaran Data Universitas Nasional Australia (ANU)#

Pada bulan November 2018, Universitas Nasional Australia (ANU) menjadi korban serangan siber yang sangat canggih yang membahayakan informasi pribadi sensitif dari sekitar 200.000 individu. Pelanggaran ini, salah satu yang paling kompleks dalam sejarah Australia, tidak terdeteksi selama hampir enam bulan, dan memungkinkan para penyerang mengakses data yang berasal dari sejak 19 tahun yang lalu.

Para penyerang menggunakan serangkaian empat kampanye spear-phishing untuk menyusup ke dalam jaringan ANU. Pelanggaran awal terjadi saat seorang staf senior tanpa disadari membuka email berbahaya, dan memberi para peretas tersebut kredensial yang mereka butuhkan guna menembus sistem universitas secara lebih dalam. Setelah berada di dalam, peretas tersebut mendapat akses ke Domain Sistem Perusahaan (Enterprise Systems Domain/ESD) dari ANU, tempat rekaman yang paling sensitif dari universitas itu disimpan, termasuk rincian pribadi, nomor wajib pajak, informasi penggajian, dan bahkan hasil akademik mahasiswa.

Para peretas ini mendemonstrasikan level kecanggihan yang tinggi dengan menutupi jejak-jejak mereka secara saksama. Mereka secara sigap menghapus rekaman akses guna menghilangkan bukti aktivitas mereka dan memakai Tor, piranti lunak yang dirancang untuk menganonimkan kegiatan online, agar dapat mengaburkan lokasi mereka. Level keamanan tingkat operasi ini secara nyata menunda pendeteksian dari pelanggaran tersebut.

Dalam sebuah percobaan yang lebih jauh untuk mengekspansi akses mereka, penyerang memanfaatkan akun email staf yang bobol itu untuk mengirim putaran email phishing yang kedua, mengundang staf-staf universitas senior lainnya ke acara palsu. Langkah ini mengekspansi ruang lingkup serangan itu dan menaikkan kemungkinan timbulnya kerugian.

Terlepas dari keparahan dari pelanggaran ini, tidak ada bukti bahwa data curian telah dieksploitasi. Namun, insiden tersebut mendorong ANU untuk menginvestasikan jutaan dolar dalam meningkatkan infrastruktur keamanan sibernya untuk mencegah pelanggaran di masa mendatang.

3.12 Pelanggaran Data Service NSW#

Pada bulan April 2020, Service NSW, lembaga pemerintahan New South Wales yang bertanggung jawab untuk memberikan berbagai layanan kepada warga, mengalami pelanggaran data signifikan yang mengekspos informasi pribadi dari 104.000 individu. Pelanggaran tersebut dimulai melalui serangkaian serangan phishing yang berhasil menyusup ke 47 akun email staf. Penyerang memperoleh akses ke sekitar 5 juta dokumen, 10% di antaranya berisi data pribadi sensitif.

Pelanggaran tersebut sangat mengkhawatirkan karena besarnya volume data yang diakses dan sifat sensitif dari informasi yang terlibat. Data yang dikompromikan kemungkinan mencakup detail pribadi seperti nama, alamat, informasi kontak, dan mungkin informasi identifikasi penting lainnya, meskipun jenis spesifik data yang diekspos tidak sepenuhnya diungkapkan.

Faktor penyumbang utama keberhasilan pelanggaran tersebut adalah tidak adanya autentikasi multi-faktor (MFA) pada akun yang dikompromikan. Tanpa lapisan keamanan tambahan ini, penyerang dapat dengan mudah memperoleh dan mempertahankan akses ke akun email, bergerak secara lateral melalui jaringan untuk memanen sejumlah besar data sensitif.

Menanggapi pelanggaran tersebut, Service NSW melakukan peninjauan komprehensif terhadap praktik keamanannya dan mulai menerapkan langkah-langkah keamanan yang lebih kuat, termasuk peluncuran MFA di seluruh sistemnya.

3.13 Pelanggaran Data Hey You#

Pada bulan Juni 2024, Hey You, aplikasi pemesanan makanan dan minuman asal Australia yang populer, mengalami pelanggaran data yang mengekspos informasi pribadi dari sekitar 100.000 pelanggan. Pelanggaran tersebut mengkompromikan data pelanggan yang sensitif, termasuk nama lengkap, alamat email, nomor telepon, alamat pengiriman, dan riwayat pesanan. Paparan data ini menimbulkan risiko signifikan, terutama dalam hal potensi pencurian identitas dan serangan phishing.

Pelanggaran tersebut ditemukan ketika akses tidak sah ke basis data Hey You terdeteksi. Meskipun Hey You meyakinkan pelanggan bahwa tidak ada informasi pembayaran atau keuangan yang dikompromikan, pelanggaran tersebut tetap menggarisbawahi pentingnya mengamankan bahkan data yang tampaknya kurang penting. Informasi seperti riwayat pesanan dan alamat pengiriman, bila digabungkan dengan data pribadi lainnya, dapat digunakan oleh penjahat siber untuk berbagai tujuan berbahaya.

Sebagai tanggapan atas pelanggaran tersebut, Hey You menerapkan langkah-langkah keamanan tambahan untuk mencegah insiden di masa mendatang dan bekerja sama dengan pakar keamanan siber untuk memperkuat protokol perlindungan data mereka. Perusahaan tersebut juga menyarankan pelanggan untuk berhati-hati terhadap komunikasi yang tidak biasa dan memantau akun mereka untuk tanda-tanda aktivitas yang tidak sah.

3.14 Pelanggaran Data Telstra#

Pada bulan April 2024, Telstra, salah satu penyedia telekomunikasi terbesar di Australia, mengungkapkan pelanggaran data yang mengekspos informasi pribadi dari sekitar 47.000 pelanggan. Data yang dikompromikan termasuk nama, alamat email, dan nomor telepon. Pelanggaran tersebut menjadi publik ketika kumpulan data yang berisi informasi ini diunggah di forum peretasan, yang menimbulkan kekhawatiran tentang potensi penyalahgunaan data yang terekspos.

Meskipun kumpulan data tersebut dilaporkan mencakup sejumlah besar data tiruan, paparan informasi pelanggan yang sebenarnya tetap menimbulkan risiko serius, terutama terkait pencurian identitas dan penipuan phishing yang ditargetkan. Meskipun Telstra mengklarifikasi bahwa pelanggaran tersebut bukan akibat dari serangan siber langsung pada sistem mereka, insiden tersebut menyoroti tantangan yang sedang berlangsung dalam melindungi data pelanggan dari akses dan distribusi yang tidak sah.

Sebagai tanggapan atas pelanggaran tersebut, Telstra mengambil langkah-langkah untuk menilai ruang lingkup paparan dan berupaya meyakinkan pelanggan bahwa informasi yang lebih sensitif, seperti detail keuangan, tidak dikompromikan.

Selain itu, Telstra memperkenalkan kunci sandi sebagai MFA tahan phishing bagi konsumen.

3.15 Pelanggaran Data Sumo#

Pada bulan Mei 2024, Sumo, penyedia energi dan telekomunikasi di Australia, mengalami pelanggaran data yang mengkompromikan informasi pribadi dari sekitar 40.000 pelanggan. Pelanggaran tersebut melibatkan akses tidak sah ke data pelanggan yang sensitif, termasuk nama lengkap, alamat email, nomor telepon, alamat penagihan, dan rincian akun. Informasi ini berpotensi dieksploitasi untuk pencurian identitas, skema phishing, dan aktivitas berbahaya lainnya.

Pelanggaran tersebut ditemukan ketika aktivitas yang tidak biasa terdeteksi di dalam sistem Sumo, yang memicu penyelidikan segera. Meskipun informasi keuangan seperti detail kartu kredit tidak dilaporkan sebagai bagian dari data yang dikompromikan, informasi yang terekspos tetap cukup untuk membahayakan pelanggan yang terkena dampak. Sumo menyarankan pelanggannya untuk tetap waspada, terutama terkait komunikasi yang tidak terduga, dan untuk memantau akun mereka untuk setiap aktivitas yang tidak biasa.

Sebagai tanggapan atas pelanggaran tersebut, Sumo menerapkan langkah-langkah keamanan yang ditingkatkan dan bekerja sama dengan pakar keamanan siber untuk memperkuat pertahanan mereka terhadap serangan di masa mendatang.

4. Ancaman Credential Stuffing yang Terus Berkembang: Mengapa Ini Penting bagi Semua Perusahaan#

Kita telah melihat bahwa banyak bisnis telah dibobol dan bahwa hampir semua data warga Australia mungkin menjadi bagian dari salah satu pelanggaran tersebut. Mari kita sekarang fokus pada ancaman yang timbul dari pelanggaran data semacam itu bahkan jika organisasi yang dibobol segera mengubah semua kata sandi. Kekhawatiran nomor satu mungkin adalah credential stuffing.

4.1 Apa Itu Credential Stuffing?#

Credential stuffing adalah jenis serangan siber di mana peretas menggunakan alat otomatis untuk mencoba sejumlah besar kombinasi nama pengguna dan kata sandi, yang sering kali bersumber dari pelanggaran data sebelumnya, untuk mendapatkan akses tidak sah ke akun pengguna. Tidak seperti serangan brute force yang mencoba kombinasi acak, credential stuffing bergantung pada fakta bahwa banyak orang menggunakan ulang kata sandi di berbagai situs. Hal ini memudahkan penyerang untuk membobol akun dengan menggunakan kredensial login yang dikompromikan dalam satu pelanggaran untuk menargetkan akun di platform lain.

Diambil dari Laporan Notifiable Data Breaches Juli hingga Desember 2023

4.2 Kaitan Antara Pelanggaran Data dan Credential Stuffing#

Pelanggaran data adalah bahan bakar utama untuk serangan credential stuffing. Ketika basis data suatu perusahaan dikompromikan, kredensial yang dicuri – sering kali termasuk nama pengguna, alamat email, dan kata sandi - dapat dijual atau dibagikan di forum dark web. Penjahat siber kemudian menggunakan kredensial ini untuk meluncurkan serangan credential stuffing terhadap layanan lain, karena mengetahui bahwa persentase pengguna yang signifikan menggunakan ulang kata sandi di situs yang berbeda.

Misalnya, jika email dan kata sandi pengguna diekspos dalam pelanggaran di situs media sosial, penyerang mungkin menggunakan kredensial yang sama untuk mencoba mengakses akun perbankan, belanja, atau email milik pengguna. Hal ini dapat menyebabkan kerugian finansial yang signifikan, pencurian identitas, dan akses tidak sah ke informasi sensitif, bahkan bagi perusahaan yang tidak dibobol secara langsung.

4.3 Mengapa Credential Stuffing Menjadi Perhatian Semua Perusahaan#

Bahkan jika perusahaan Anda belum pernah mengalami pelanggaran data, Anda tetap berada dalam risiko pembobolan yang disebabkan oleh credential stuffing. Penyerang yang menggunakan kredensial dari pelanggaran lain dapat menargetkan akun pengguna Anda, yang berpotensi mendapatkan akses ke data sensitif, melakukan transaksi penipuan, atau menyusup ke sistem Anda. Hal ini tidak hanya menimbulkan ancaman keamanan tetapi juga merusak reputasi merek Anda dan dapat menyebabkan kerugian finansial dari penipuan serta hilangnya pelanggan.

Di bawah Skema Notifiable Data Breaches Australia, perusahaan harus memberi tahu individu jika data mereka telah dikompromikan. Namun, implikasi dari credential stuffing meluas melebihi sekadar memberi tahu pengguna. Perusahaan harus proaktif dalam mencegah serangan ini dengan menerapkan langkah-langkah keamanan yang lebih kuat, seperti autentikasi multi-faktor (MFA), memantau upaya masuk yang mencurigakan, dan menggunakan alat yang mendeteksi kredensial yang disusupi sebelum dapat dieksploitasi.

4.4 Melindungi Dari Credential Stuffing#

Bagi individu, alat-alat seperti Have I Been Pwned memungkinkan pengguna untuk memeriksa apakah alamat email mereka pernah terlibat dalam pelanggaran data apa pun, yang membantu mereka mengambil langkah-langkah perlindungan diri. Perusahaan dapat menggunakan sumber daya serupa, seperti HudsonRock, yang memungkinkan bisnis untuk memeriksa apakah domain mereka terkait dengan akun yang dibobol, yang memberikan tanda peringatan dini mengenai potensi serangan credential stuffing.

5. Australia Menghadapi Ancaman Signifikan dari Credential Stuffing#

Australia memegang predikat malang karena memiliki salah satu tingkat pelanggaran data per kapita tertinggi di seluruh dunia. Analisis dari pelanggaran terbaru, seperti yang diuraikan di atas, mengungkapkan bahwa bahkan beberapa organisasi terbesar dan terpercaya di negara tersebut pun menjadi korban serangan siber. Paparan luas dari data sensitif ini secara signifikan meningkatkan risiko serangan credential stuffing, khususnya bagi pengguna yang terbiasa menggunakan ulang kata sandi di berbagai platform.

Mengingat pelanggaran skala besar di institusi-institusi besar, termasuk penyedia telekomunikasi, layanan keuangan, dan badan pendidikan, sangat mungkin bahwa sejumlah besar kredensial milik warga Australia beredar di dark web. Kredensial yang disusupi ini dapat dieksploitasi oleh penjahat siber untuk mendapatkan akses tidak sah ke berbagai akun, yang menimbulkan ancaman parah bagi individu maupun bisnis.

Selain itu, infrastruktur e-government Australia yang maju, yang memungkinkan warga negara untuk berinteraksi dengan layanan pemerintah secara daring, telah menjadi sasaran yang menarik bagi para penyerang. Tingginya tingkat digitalisasi dalam platform pemerintah menjadikannya fokus utama bagi serangan credential stuffing, yang semakin menekankan perlunya tindakan keamanan siber yang kuat di semua sektor di Australia.

6. Bagaimana Kunci Sandi Dapat Membantu Mencegah Pelanggaran Data dan Credential Stuffing#

Kunci sandi adalah solusi hebat terhadap kerentanan yang sering kali menyebabkan pelanggaran data dan credential stuffing. Kunci sandi menggunakan kombinasi dari kunci privat yang disimpan pada perangkat pengguna dan kunci publik yang disimpan di server. Bahkan jika peretas mendapatkan kunci publik pengguna atau menyusup ke server, mereka tidak dapat masuk (login) tanpa kunci privat yang sesuai, yang tersimpan secara aman pada perangkat pengguna (di dalam TPM atau secure enclave).

Kunci sandi juga secara efektif mencegah serangan credential stuffing. Karena kunci sandi tidak melibatkan kata sandi yang dapat digunakan kembali di berbagai situs, seluruh premis credential stuffing menjadi usang. Bahkan jika peretas memperoleh informasi masuk dari situs lain yang dibobol, informasi tersebut tidak dapat digunakan untuk mengakses akun yang diamankan dengan kunci sandi. Hal ini menjadi sangat krusial di negara seperti Australia, di mana tingginya tingkat pelanggaran data berarti tersedia kumpulan besar kredensial yang berpotensi dikompromikan di dark web.

Mari kita lihat seperti apa tampilan peluncuran kunci sandi untuk mencegah pelanggaran data dan credential stuffing. Oleh karena itu, kami menyarankan untuk bekerja dalam empat fase.

1. Fase: Perkenalkan kunci sandi

   Pada fase awal, Anda mengintegrasikan kunci sandi ke dalam produk Anda dan menawarkan pembuatan kunci sandi secara proaktif pada pengaturan akun dan jika pengguna telah berhasil masuk menggunakan metode masuk tradisional (lihat juga pembaruan otomatis kunci sandi).

2. Fase: Buat pengguna Anda memakai kunci sandi sebagai metode autentikasi utama

   Terapkan pemikiran kunci-sandi-pertama (passkey-first) yang mendorong penggunaan kunci sandi untuk proses masuk sesering mungkin dan sebagai metode autentikasi utama. Autentikasi tradisional masih ditawarkan namun tidak secara aktif dipromosikan.

3. Fase: Berikan pilihan autentikasi lain hanya untuk rute cadangan (fallback) & pemulihan kunci sandi
   Hanya pada perangkat yang belum siap menerima kunci sandi, jika belum ada kunci sandi yang tersedia, atau pengguna membatalkan proses masuk menggunakan kunci sandi, barulah Anda dapat menggunakan metode autentikasi yang sudah ada sebelumnya.

4. Fase: Tingkatkan keamanan secara menyeluruh dengan menghapus kata sandi dari sistem Anda
   Jika Anda sudah mempunyai tingkat adopsi kunci sandi yang cukup tinggi, Anda dapat mulai menghapus kata sandi guna meningkatkan keamanan secara menyeluruh dan mencegah kebocoran kredensial.

7. Kesimpulan#

Seiring dengan meningkatnya jumlah pelanggaran data yang dihadapi Australia, ancaman credential stuffing telah menjadi perhatian yang signifikan bagi organisasi dan individu. Paparan informasi sensitif yang luas di berbagai sektor menyoroti kebutuhan mendesak akan langkah-langkah keamanan siber yang lebih kuat. Kunci sandi, dengan fitur keamanannya yang canggih, menawarkan solusi menjanjikan bagi tantangan-tantangan ini, yang secara efektif memitigasi risiko-risiko yang terkait dengan sistem berbasis kata sandi tradisional. Dengan mengadopsi teknologi inovatif seperti kunci sandi, Australia dapat memperkuat pertahanannya terhadap ancaman siber dan melindungi identitas digital dari warganya serta perusahaan-perusahaannya. Saat kita melangkah maju, penting bagi organisasi dan individu untuk tetap waspada serta mengadopsi praktik terbaik dalam mengamankan data mereka di lanskap digital yang terus berkembang.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan (FAQ)#

Apa pelanggaran data terbesar dalam sejarah Australia berdasarkan jumlah pengguna yang terkena dampak?#

Pelanggaran Canva pada bulan Mei 2019 adalah yang terbesar berdasarkan volume, membahayakan 137 juta akun pengguna di seluruh dunia termasuk kata sandi terenkripsi dan sebagian data pembayaran. Penyerang, yang dikenal sebagai 'Gnosticplayers', terdeteksi di tengah operasi tetapi telah mengekstraksi sejumlah besar data sebelum dihentikan.

Bagaimana pelanggaran data di perusahaan lain menempatkan organisasi saya dalam risiko serangan credential stuffing?#

Serangan credential stuffing menggunakan kombinasi nama pengguna dan kata sandi curian dari satu pelanggaran untuk mencoba masuk ke platform yang sama sekali berbeda, mengeksploitasi kebiasaan luas penggunaan kembali kata sandi di berbagai situs. Bahkan jika organisasi Anda belum pernah diretas secara langsung, penyerang dapat menargetkan akun pengguna Anda menggunakan kredensial yang bersumber dari pelanggaran yang tidak terkait dan dijual di forum dark web.

Apa kewajiban hukum yang dimiliki perusahaan Australia setelah terjadi pelanggaran data?#

Berdasarkan skema Notifiable Data Breaches Australia, perusahaan harus memberi tahu individu yang terkena dampak ketika data pribadi mereka telah disusupi. Konsekuensi dari praktik keamanan yang lalai bisa sangat parah: penyelidikan pelanggaran Medibank memunculkan prospek denda setinggi 21,5 triliun USD, menggambarkan risiko finansial yang sangat besar dari tindakan keamanan siber yang tidak memadai.

Mengapa organisasi perawatan kesehatan dan keuangan secara khusus ditargetkan dalam pelanggaran data di Australia?#

Organisasi perawatan kesehatan dan keuangan menyimpan data yang memiliki harga premium di pasar gelap, termasuk rekam medis, ID pemerintah, dan detail keuangan. Serangan ransomware MediSecure pada bulan Mei 2024 mengekspos informasi kesehatan 12,9 juta warga Australia dan sangat menghancurkan secara finansial sehingga perusahaan tersebut kemudian dipaksa masuk ke dalam pengawasan administrator (administration).