Risiko Akun Tidak Aktif

Semakin lama kita hidup di era digital, semakin banyak akun online yang kemungkinan kita miliki. Bisakah Anda mengingat semua layanan yang pernah Anda daftar selama bertahun-tahun? Mungkin itu percobaan gratis yang Anda mulai dan tidak pernah dibatalkan.

Atau aplikasi yang pernah Anda gunakan saat liburan dan tidak pernah kembali lagi. Penyebaran akun (account sprawl) adalah kenyataan yang tak terhindarkan. Menurut salah satu perkiraan, rata-rata orang memiliki 168 kata sandi untuk akun pribadi.

Namun, akun yang tidak aktif juga merupakan risiko keamanan, baik dari perspektif pribadi maupun pekerjaan. Akun-akun ini mewakili target yang berpotensi menarik bagi para penjahat yang oportunis, jadi ada baiknya melakukan “bersih-bersih” sesekali untuk menjaga kendali atasnya.

Mengapa Akun yang Tidak Aktif Berisiko?

Ada banyak alasan mengapa Anda mungkin memiliki banyak akun yang terlupakan dan tidak aktif. Kemungkinan besar, Anda dibombardir dengan penawaran khusus dan layanan digital baru setiap hari.

Terkadang satu-satunya cara untuk mencobanya adalah dengan mendaftar dan membuat akun baru. Tapi kita hanyalah manusia, kita lupa, minat kita berubah seiring waktu, dan terkadang kita tidak bisa mengingat login dan akhirnya beralih ke yang lain. Seringkali lebih sulit untuk menghapus akun daripada membiarkannya menjadi tidak aktif.

Namun, itu bisa menjadi kesalahan. Akun yang telah tidak aktif dalam waktu lama lebih mungkin untuk dikompromikan, menurut Google. Itu karena ada kemungkinan besar bahwa akun tersebut menggunakan kredensial lama atau yang digunakan kembali yang mungkin telah terlibat dalam pelanggaran data historis.

Raksasa teknologi itu juga mengklaim bahwa “akun yang terbengkalai setidaknya 10 kali lebih kecil kemungkinannya untuk memiliki verifikasi 2 langkah daripada akun aktif.”

Akun-akun ini bisa menjadi magnet bagi peretas, yang semakin fokus pada pengambilalihan akun (Account Takeover – ATO). Mereka melakukannya melalui berbagai teknik, termasuk:

• Malware pencuri informasi (infostealer malware) yang dirancang untuk memanen login Anda. Satu laporan mengklaim bahwa 3,2 miliar kredensial dicuri tahun lalu; sebagian besar (75%) melalui infostealer.
• Pelanggaran data skala besar, di mana peretas memanen seluruh basis data kata sandi dan nama pengguna dari perusahaan pihak ketiga tempat Anda mungkin mendaftar.
• Credential stuffing, di mana peretas memasukkan kredensial yang bocor ke dalam perangkat lunak otomatis, dalam upaya untuk membuka akun di mana Anda telah menggunakan kembali kata sandi yang sama yang telah dikompromikan.
• Teknik brute-force, di mana mereka menggunakan coba-coba untuk menebak kata sandi Anda.

Konsekuensi Akun Tidak Aktif

Jika penyerang mendapatkan akses ke akun Anda, mereka dapat:

• Menggunakannya untuk mengirim spam dan penipuan ke kontak Anda (misalnya, jika itu adalah email atau akun media sosial yang tidak aktif), atau bahkan meluncurkan serangan phishing yang meyakinkan atas nama Anda. Ini mungkin mencoba untuk mendapatkan informasi sensitif dari kontak Anda, atau menipu mereka agar menginstal malware.
• Mencari informasi pribadi atau detail kartu yang tersimpan di akun Anda yang tidak aktif. Ini dapat digunakan untuk melakukan penipuan identitas, atau untuk mengirim email phishing lebih lanjut yang menyamar sebagai penyedia layanan akun untuk mendapatkan lebih banyak detail dari Anda. Kartu yang tersimpan mungkin sudah kedaluwarsa, tetapi yang belum dapat digunakan untuk melakukan transaksi penipuan atas nama Anda.
• Menjual akun di dark web, jika memiliki nilai apa pun, seperti akun loyalitas atau Air Miles yang mungkin sudah Anda lupakan.
• Menguras dana dari akun (misalnya, jika itu adalah crypto wallet atau rekening bank yang terlupakan). Di Inggris, diperkirakan ada £82 miliar ($109 miliar) dalam rekening bank, masyarakat bangunan, pensiun, dan akun lain yang hilang.

Akun bisnis yang tidak aktif juga merupakan target yang menarik, mengingat akun tersebut dapat memberi pelaku jalur mudah ke data dan sistem perusahaan yang sensitif. Mereka dapat mencuri dan menjual data ini atau menyanderanya. Bahkan:

Pelanggaran ransomware Colonial Pipeline tahun 2021 dimulai dari akun VPN tidak aktif yang dibajak. Insiden ini mengakibatkan kekurangan bahan bakar besar di seluruh Pantai Timur AS.

Serangan ransomware tahun 2020 di London Borough of Hackney sebagian besar berasal dari kata sandi yang tidak aman pada akun tidak aktif yang terhubung ke server dewan.

Saatnya Bersih-bersih!

Jadi, apa yang bisa Anda lakukan untuk mengurangi risiko di atas? Beberapa penyedia layanan sekarang secara otomatis menutup akun yang tidak aktif setelah jangka waktu tertentu, untuk membebaskan sumber daya komputasi, mengurangi biaya, dan meningkatkan keamanan bagi pelanggan. Ini termasuk Google, Microsoft, dan X.

Namun, dalam hal keamanan digital Anda, selalu yang terbaik adalah bersikap proaktif. Pertimbangkan hal berikut:

• Audit dan hapus akun tidak aktif secara berkala. Cara yang baik untuk menemukan akun-akun ini adalah dengan mencari kotak masuk email Anda untuk kata kunci seperti “Selamat Datang,” “Verifikasi akun,” “Percobaan gratis,” “Terima kasih telah mendaftar,” “Validasi akun Anda,” dll.
• Periksa pengelola kata sandi Anda atau daftar kata sandi yang tersimpan di browser Anda dan hapus yang terhubung ke akun tidak aktif – atau perbarui kata sandi jika telah ditandai sebagai tidak aman/terlibat dalam pelanggaran data.
• Ada baiknya memeriksa kebijakan penghapusan penyedia akun untuk memastikan bahwa semua informasi pribadi dan keuangan pasti akan dihapus jika Anda menutup akun.
• Pikirkan dua kali sebelum mendaftar baru. Apakah benar-benar layak membuat akun baru?

Untuk akun yang ingin Anda pertahankan, selain memperbarui kata sandi ke kredensial yang kuat dan unik, serta menyimpannya di pengelola kata sandi, pertimbangkan hal berikut:

• Mengaktifkan otentikasi dua faktor (2FA), sehingga meskipun peretas berhasil mendapatkan kata sandi Anda, mereka tidak akan dapat mengkompromikan akun Anda.
• Jangan pernah masuk ke akun sensitif di Wi-Fi publik (tanpa menggunakan VPN) karena penjahat siber mungkin dapat menguping aktivitas Anda dan mencuri login Anda.
• Waspadai pesan phishing yang mencoba menipu Anda agar menyerahkan login Anda atau mengunduh malware (seperti infostealer).
• Jangan pernah mengklik tautan dalam pesan yang tidak diminta, dan jangan mudah tergoda oleh upaya untuk membuat Anda terburu-buru mengambil tindakan, misalnya, mengklaim bahwa Anda berutang uang atau akun Anda akan dihapus jika tidak.

Kemungkinan besar sebagian besar dari kita memiliki puluhan, jika bukan ratusan, akun tidak aktif yang tersebar di internet. Dengan meluangkan beberapa menit dari hari Anda sekali setahun untuk membersihkan semuanya, Anda bisa membuat kehidupan digital Anda sedikit lebih aman.