By Mediasembilan.com 
Penulis : Elin Nurjanah
Instansi : Universitas Pamulang
Baru-baru ini, Cybernews mengungkap bahwa sekitar 16 miliar kredensial login telah bocor dan tersebar dalam 30 dataset dari berbagai platform popular seperti Google, Facebook, Apple, GitHub, Telegram, bahkan lembaga pemerintah setidaknya sejak awal 2025. Meskipun bukan akibat satu kebocoran terpusat, kumpulan data ini berasal dari berbagai peristiwa pencurian dan kemudian disusun ulang. Infostealer malware menjadi aktor utama dalam aksi pencurian ini.
Ketika jumlah data bocor tersebut melebihi jumlah manusia di dunia, hal ini menunjukkan banyak pengguna menggunakan satu password yang sama di berbagai layanan. Hal ini membuka pintu bagi credential stuffing, di mana peretas mencoba memasukkan kombinasi username-password yang sama ke layanan lain secara otomatis, praktik yang efektif untuk hampir dua persen akun setiap harinya .
Dampak dan Gejala Serangan
Kebocoran ini tidak sekadar ancaman jangka Panjang, serangan langsung seperti account takeover, phishing massal, dan identitas digital yang dicuri bisa terjadi seketika. Banyak pengguna masih menggunakan password lemah seperti “123456” dan “password”—kasus umum yang ditemukan di berbagai laporan keamanan . Analisis dari Cybernews dan Pelaku Breach Checker seperti “Have I Been Pwned” pun menjadi alat vital untuk mendeteksi apakah data pengguna telah terpapar.
AI & Deepfake: Senjata Baru Dalam Dunia Siber
• Phishing Cerdas Berbasis AI
AI kini digunakan untuk membuat email phishing yang semakin meyakinkan, personal dan bebas kesalahan tata bahasa. Volume email phishing meningkat lebih dari 200%, sedangkan credential-phishing melonjak lebih dari 700% dibandingkan tahun sebelumnya.
• Deepfake Suara dan Video
Serangan deepfake tidak lagi skala eksperimen: ada kasus perusahaan di Hong Kong yang kehilangan US $25 juta setelah seorang karyawan dibujuk oleh “CEO palsu” lewat deepfake video call. Suara yang dihasilkan AI dapat meniru intonasi dan keakraban dengan sangat persuasif, membuat korban sulit mengenali tipu daya.
• Infostealer & Malware Berbasis AI
Malware generasi baru sekarang menggabungkan kemampuan mencuri data (infostealer) dan AI untuk menghindari antivirus serta secara otomatis mengekstrak informasi lebih cepat. Ini juga digunakan dalam model Ransomware-as-a-Service dengan negosiasi otomatis menggunakan AI
Strategi Perlindungan Terbaik
- Gunakan Kata Sandi Unik & Manajer Sandi
Buat password panjang (16+ karakter) dan unik untuk setiap akun, lalu simpan di password manager. Ini mencegah credential stuffing dari bocoran miliaran password .
- Aktifkan Multi-Factor Authentication (MFA)
Gunakan MFA, idealnya yang tahan phishing (seperti biometrik atau hardware token/FIDO2). Ini kritikal untuk menghalangi akses meskipun password sudah bocor.
- Beralih ke Passkeys / Passwordless Authentication
Platform besar seperti Google, Apple, dan Microsoft mendorong penggunaan passkeys berbasis biometrik atau perangkat—lebih aman dan bebas risiko bocoran password tradisional.
- Gunakan AI-Driven Security Tools
Terapkan solusi berbasis AI/NLP untuk mendeteksi phishing, deepfake, dan email berbahaya secara real-time (contoh: Proofpoint, Microsoft Defender, Abnormal).
- Pelatihan & Simulasi Serangan AI
Secara rutin latih karyawan dengan skenario nyata (phishing berbasis AI, deepfake voice); sertakan safe word atau verifikasi ganda sebelum transfer dana atau akses sensitif.
- Adopsi Zero‑Trust & Segmentasi Jaringan
Terapkan prinsip least-privilege dan segmentasi internal, sehingga akses tidak seluruhnya terbuka meskipun satu titik keamanan gagal .
- Patching dan Update Sistem Rutin
Gunakan patch management otomatis dan perhatikan keamanan endpoint serta firewall. Sistem yang terlindungi meminimalkan celah ekploitasi AI terbaru.
- Optimasi Endpoint Detection & Response (EDR/XDR)
Adopsi solusi seperti CrowdStrike, SentinelOne, Microsoft Defender XDR untuk deteksi malware berperilaku mencurigakan atau fileless, dan respons otomatis.
- Verifikasi Komunikasi via Safe-Word atau Channel Alternatif
Untuk permintaan kritis, gunakan verifikasi ganda seperti kode harian, safe‑word, atau konfirmasi melalui saluran lain (telepon, chat encrypted).
- Lindungi dan Audit AI Internal
Jika organisasi menggunakan AI, pastikan dataset tidak terkontaminasi, gunakan teknik pertahanan adversarial, dan audit model secara berkala untuk cegah penyalahgunaan.
Dengan menerapkan strategi di atas secara berlapis-lapis, baik dari sisi teknologi maupun manusia, kamu bisa memperkuat pertahanan dari segala ancaman—mulai dari deepfake sophisticated hingga infostealer AI.
Kebocoran 16 miliar password dan munculnya AI-powered malware serta deepfake menandai tahun 2025 sebagai masa ujian keamanan siber global. Ancaman ini nyata, dinamis, dan mampu menyerang dari berbagai sudut. Meski begitu, prinsip dasar seperti password unik, autentikasi kuat, verifikasi ganda, serta kesadaran tinggi terhadap teknik manipulasi digital adalah fondasi pertahanan yang tangguh.