Layanan Dropbox Diretas, Ini Pelajaran Yang Dapat Dipetik

layanan dropbox diretas

Peretasan layanan Dropbox merupakan perusahaan besar terakhir yang mengkonfirmasi peretasan data. Meskipun kejadian Dropbox diretas ini terjadi pada empat tahun yang lalu, tapi peretasan terhadap layanan penyimpanan berbasis cloud ini menyoroti beberapa pelajaran keamanan kunci.

Pihak perusahaan layanan penyimpanan cloud yang terkenal dengan harga yang murah ini mengatakan bahwa pengguna harus me-reset password mereka. Hal ini dinyatakan setelah mempelajari tentang jejak rekam kredensial para pengguna yang diyakini telah diretas sejak empat tahun yang lalu.

Yang Dapat Dilakukan Setelah Layanan Dropbox Diretas

Ada sejumlah pelajaran yang bisa dipetik dari pelanggaran data yang sangat besar pada layanan dropbox. Para pemilik akun individu dan bisnis harus segera bertindak untuk memastikan akun mereka tidak menjadi target peretasan dikemudian hari.

Walaupun setelah dropbox diretas mereka mengkonfirmasikan bahwa data 68 juta lebih pelanggan mereka tidak dijual oleh peretas, namun ada baiknya mengikuti langkah-langkah pengamanan akun dropbox seperti dibawah ini.

Jangan Pernah Menggunakan Password Yang Sama

Akses ke sebuah file target peretasan yang berisi alamat email pengguna dan password dimungkinkan kembali terjadi. Hal ini karena layanan Dropbox juga menggunakan password yang sama dengan apa yang telah di ambil oleh hacker.

Sebuah laporan yang dikeluarkan perusahaan TeleSign mengungkapkan bahwa 73% dari akun online dijaga oleh password yang sama. 54% konsumen menggunakan password yang berbeda sebanyak lima password untuk semua akun online mereka.

Para pakar keamanan merekomendasikan penggunaan password manager untuk menyimpan dan mengelola password agar semakin unik untuk semua akun online anda. Terutama untuk akun anda di Dropbox, jangan menggunakan password yang sama dengan yang sebelumnya.

Ubah Password Dropbox Anda Secara Teratur

Peretasan hanya mempengaruhi para pengguna layanan Dropbox yang tidak berubah password mereka sejak tahun 2012. Dengan mengubah password secara teratur, bahkan jika pelanggaran terjadi, hal ini akan mempersempit waktu para hacker.

Budaya manajemen perusahaan yang mewajibkan karyawan untuk mengubah password secara teratur juga akan mengurangi kemungkinan para karyawan untuk menggunakan password yang sama pada akun Dropbox mereka, serta akun terkait bisnis internal atau lainnya.

Menurut laporan TeleSign, 47% dari pemegang akun online mengandalkan sandi yang belum berubah selama lima tahun.

Dropbox beberapa kali telah memperbarui cara penyimpanan password sejak tahun 2012. Termasuk memperbarui mekanisme hashing sandi untuk bcrypt dari SHA-1,  sehingga setiap password yang beberapa kali dirubah menjadi memiliki beberapa lapisan perlindungan.

Mengaktifkan Otentikasi Dua Faktor

Jika otentikasi dua faktor (2FA) diaktifkan maka penyerang tidak akan dapat menggunakan password tanpa kode akses tambahan. Pakar keamanan menyarankan untuk selalu mengaktifkan otentikasi 2 faktor pada akun Dropbox dan semua akun online lainnya jika opsi ini tersedia.

Menurut seorang teknolog senior di perusahaan keamanan Sophos, penyerang dapat membeli password cracker dengan harga kurang dari $ 20,000 (Rp. 264 juta). Dalam kondisi ideal, alat tersebut akan memungkinkan penyerang untuk menguji triliun-an password setiap detik, yang berarti setiap password delapan huruf bisa di uji hanya dalam 2 detik dan setiap password sembilan huruf di bawah satu menit.

Jangan Terlalu Mengandalkan Layanan Publik

Sementara Dropbox telah mengkonfirmasi bahwa data kredensial pengguna telah dicuri pada tahun 2012, pada saat itu perusahaan mengatakan hanya alamat email yang berhasil di koleksi tanpa menyebutkan jumlah e-mail tersebut sebanyak 70 juta e-mail.

Dropbox berusaha meyakinkan publik dengan mengatakan bahwa belum ada indikasi aktivitas di luar kebiasaan terhadap setiap akun yang telah diretas tersebut.

Perusahaan penyimpanan file online ini juga meminta para pelanggan yang terkena retas agar me-reset password mereka sekitar seminggu sebelum dropbox mengkonfirmasikan peretasan ini.

Tindakan proaktif Dropbox yang mengutamakan pelanggannya ini patut di apresiasi. Hal ini dapat memungkinkan pengurangan risiko untuk para pengguna dropbox. Cara Dropbox merespon kejadian ini dapat dijadikan contoh bagi perusahaan cloud lainnya jika dihadapkan dengan situasi yang sama.

Dialog terbuka tentang keamanan seperti yang di representasikan Dropbox mengenai risiko, pencegahan dan tindakan selanjutnya akan membantu memperkuat masyarakat keamanan dan teknologi.

Ambil Tanggung Jawab Untuk Perlindungan Data

Peretasan seperti yang terjadi pada layanan Dropbox menunjukkan betapa pentingnya bagi individu dan perusahaan untuk bertanggung jawab terhadap perlindungan data mereka. Hal ini sangay penting untuk tidak hanya mengandalkan langkah-langkah keamanan yang ditetapkan oleh penyedia layanan, terutama ketika kita berbicara tentang data rahasia perusahaan yang disimpan pada jalur publik (public cloud).

Dengan mengaktifkan 2 Faktor Otentikasi (2FA) yang kompleks, tingkat kesulitan password, memang dapat meningkatkan keamanan. Namun, lebih penting untuk menghindari menyimpan data sensitif pribadi atau bisnis pada setiap aplikasi yang berada pada layanan publik. Dalam hal ini para IT perusahaan harus merumuskan kebijakan ketat untuk apa saja yang dapat disimpan pada jalur publik.

Gunakan Keamanan Data Sentris

Banyak perusahaan mengandalkan layanan Dropbox untuk penyimpanan cloud karena murah. Ketika akun di retas, ini memberikan resiko terhadap data sensitif dapat diakses pihak lain. Departemen IT mungkin tidak dapat mengetahui sepenuhnya para karyawan mengggunakan akun Dropbox mereka untuk apa saja. Karyawan bisa saja mendownload dan menggunakan aplikasi tanpa sepengetahuan mereka, hal ini umumnya dikenal sebagai resiko keamanan “Shadow IT“.

Dalam era mobile dan digital, perusahaan terpaksa menerima data yang mungkin akan berada di luar kendali mereka. Ini berarti pendekatan baru untuk keamanan data diperlukan. Ada sebuah pendekatan keamanan yang dapat diterapkan perusahaan sebagai solusi Shadow IT ini seperti menerapkan kebijakan Zero Trust Network, pemisahan jalur akses internet publik, menggunakan thin client, dan sebagainya.

Seperti pada stasiun televisi yang jika kita lihat jalur telekomunikasi mereka dengan para reporter di lapangan semakin melambat “attacked rate” nya, maka hal ini memungkinkan bahwa infrastruktur IT mereka telah disusupi atau terkena malware. Kebijakan pembatasan download, merupakan salah satu cara mengamankan penggunaan  layanan cloud pihak ketiga. Hal ini memberikan kontrol audit ketat atas data yang telah diakses dan kapan diakses.

Dapatkan Visibilitas Data Perusahaan Pada Layanan Cloud

Peretasan data seperti kejadian di layanan Dropbox menyoroti bahwa pelanggaran pada layanan file-sharing merupakan ancaman bagi perusahaan.

Karyawan semakin sering menggunakan akun pribadi di tempat kerja, hal ini meningkatkan resiko terhadap data sensitif perusahaan. Sebagai informasi penting bagi perusahaan yang bermigrasi ke sistem cloud, bahwa sangat sulit bagi organisasi untuk memantau dan mengendalikan risiko yang ditimbulkan tanpa langkah-langkah yang tepat.

Para perusahaan harus lebih berhati-hati pada semua layanan cloud yang digunakan di seluruh perusahaan. Hal ini memungkinkan mereka untuk merespon pelanggaran, menganalisis bagaimana dapat mempengaruhi mereka dan mengurangi risiko peretasan data dengan mendorong perubahan password hingga penghentian akses jaringan.

Perusahaan juga disarankan untuk menetapkan kebijakan penanganan data perusahaan dan menentukan daftar layanan cloud yang berisiko. Dengan termasuk pilihan untuk semua alasan umum yang digunakan di perusahaan, seperti : kolaborasi, konversi file dan manajemen proyek, karyawan dapat didorong untuk menggunakan aplikasi yang hanya disetujui oleh departemen IT sebagai pengendalian risiko.

Dengan menggabungkan teknologi pemantauan cloud dengan identitas dan manajemen akses kontrol yang ada, perusahaan dapat lebih mudah mengidentifikasi dan bertindak ketika suatu akun diretas. Hal ini dapat lebih mudah dan cepat  dilakukan jika perusahaan sudah bermigrasi menggunakan sistem kontainerisasi Docker. Docker merupakan cara untuk mengoptimalkan infrastrukur IT di perusahaan berskala besar.

Memantau Aktivitas Anomali

Perusahaan disarankan untuk memonitor sistem Teknologi Informasi (IT) mereka untuk kegiatan anomali untuk memastikan bahwa jika password yang diretas digunakan kembali. Setiap penyerang mencoba untuk menggunakan password yang dicuri maka manajemen dapat melihat hal ini dan menghentikannya.

Jika Dropbox menggunakan teknologi monitoring ini sejak tahun 2012, mungkin mereka dapat mencegah peretasan data pengguna. Peretas diketahui menggunakan kredensial karyawan yang mereka berhasil curi sebelumnya.

Seorang pakar solusi keamanan di Eropa mengatakan bahwa menerapkan pemantauan aktivitas anomali merupakan praktik terbaik untuk dilakukan pada semua perusahaan. Ini adalah kunci untuk mengendalikan bagaimana pengguna mengakses data, terutama untuk setiap akun dengan hak akses istimewa.

Dengan visibilitas ini, perusahaan secara real-time dapat mengevaluasi risiko terhadap upaya akses berdasarkan faktor-faktor kontekstual, seperti perangkat, lokasi dan pola penggunaan normal.

Penggunaan otentikasi multi-faktor untuk meningkatkan keamanan terhadap password memastikan dan membatasi risiko anomali seperti peretasan yang menyamar sebagai karyawan.

Akhirnya, bisnis-bisnis dapat memantau aktivitas pengguna untuk menemukan masalah dengan cepat dna kemudian harus bertindak cepat untuk mengambil tindakan perbaikan tanpa penundaan. Ini akan membantu untuk mencegah dan membatasi kerusakan jika upaya peretasan terjadi.

Ingatlah, seaman apapun sistem IT di perusahaan anda, bahwa saat ini kita semua berada pada zaman perang cyber. Peretasan dapat masuk melalui ponsel para karyawan anda, oleh karena itu kenapa negara Singapura memblokir akses internet bagi para pegawai negeri sipil mereka.