Have I Been Pwned Apakah Aman? Ini Faktanya

Have I Been Pwned?. Foto: Dok. Have I Been Pwned?

Have I Been Pwned? (HIBP) adalah situs layanan gratis yang dikelola oleh pakar keamanan siber Troy Hunt untuk memeriksa apakah data pribadi Anda (seperti email atau nomor telepon) pernah bocor dalam insiden keamanan siber.

Lantaran pengguna diminta memasukkan alamat email, banyak orang yang khawatir dan bertanya-tanya, Have I Been Pwned apakah aman? Simak uraian ini hingga tuntas untuk mengetahui jawaban lengkapnya.

Apa itu Have I Been Pwned?

Ilustrasi data dalam situs Have I Been Pwned. Foto: Unsplash

Have I Been Pwned adalah layanan web gratis yang memungkinkan siapa saja memeriksa apakah alamat email atau kata sandi mereka pernah terekspos dalam insiden kebocoran data.

Sebagaimana dijelaskan dalam laman resmi haveibeenpwned.com, situs ini dibangun oleh Troy Hunt, pakar keamanan siber asal Australia, pada 4 Desember 2013.

Kelahirannya dipicu oleh kebocoran data besar Adobe Systems pada tahun yang sama, yang berdampak pada lebih dari 32 juta pengguna, namun hampir tidak ada cara bagi korban untuk mengetahui apakah data mereka ikut bocor.

Cara Kerja Have I Been Pwned

Pengguna memasukkan alamat email di kolom pencarian.
Sistem akan mencocokkannya dengan miliaran data yang terhimpun dari ratusan insiden kebocoran.
Jika email ditemukan, situs akan menampilkan detail kebocoran, mulai dari kapan terjadi, dari platform mana, dan jenis data apa yang terekspos.

Have I Been Pwned Apakah Aman?

Ilustrasi keamanan Have I Been Pwned. Foto: Unsplash

Jawaban dari pertanyaan Have I Been Pwned apakah aman adalah ya, aman. Namun tentu saja, kepercayaan tidak boleh hanya didasarkan pada klaim semata.

Berikut alasan-alasan konkret mengapa HIBP layak dipercaya, berdasarkan informasi dari laman resmi haveibeenpwned.com serta laporan dari NIST (National Institute of Standards and Technology), lembaga standar teknologi nasional Amerika Serikat:

Fakta Have I Been Pwned

Teknologi k-anonymity untuk pengecekan password. Ketika Anda memeriksa kata sandi lewat fitur Pwned Passwords, kata sandi tidak dikirim secara utuh ke server HIBP. Sistem menggunakan metode k-anonymity, di mana hanya sebagian kecil dari hash SHA-1 password yang dikirim, sehingga server tidak pernah mengetahui password asli Anda.
Tidak ada logging eksplisit pencarian email. Dalam laman FAQ resminya, HIBP menyatakan bahwa situs tidak secara eksplisit mencatat pencarian akun yang dilakukan pengguna. Sistem hanya menggunakan Google Analytics standar dan Application Insights untuk pemantauan performa.
Data sensitif disimpan secara terpisah dan terenkripsi. Data yang tersimpan di HIBP hanya berupa alamat email atau username dan daftar situs yang terdampak, disimpan di Microsoft Azure Table Storage. Password tidak disimpan dalam bentuk teks biasa, dan yang terpenting, data password tidak disimpan berdampingan dengan data yang dapat mengidentifikasi seseorang secara pribadi.
Source code terbuka sejak 2021. Sejak tahun 2021, seluruh basis kode HIBP tersedia secara open source. Artinya, siapa pun (mulai dari peneliti keamanan independen hingga komunitas teknis global) dapat mengaudit, memeriksa, dan memverifikasi bahwa tidak ada kode tersembunyi atau mekanisme pengumpulan data yang mencurigakan.
Dipercaya pemerintah dan lembaga penegak hukum global. HIBP secara resmi bermitra dengan FBI Amerika Serikat sejak 2021 untuk mengumpan data password bocor langsung ke database mereka. Pemerintah Inggris, Australia, dan Rumania juga menggunakan HIBP untuk memantau kebocoran data di domain milik pemerintah.
Pengelola dengan reputasi publik yang terverifikasi. Troy Hunt adalah Microsoft Regional Director dan Microsoft MVP untuk Developer Security di Australia, gelar yang hanya diberikan kepada individu yang diakui secara global atas kontribusinya di bidang keamanan digital. Ia menjalankan HIBP secara transparan, sendirian, tanpa tim tersembunyi, dan aktif dalam komunitas keamanan siber internasional.

(NDA)