Pada tahun 2012 lalu, situs musik Last.fm diretas oleh pihak tak dikenal. Sekarang akhirnya terungkap bahwa pada saat itu terdapat lebih dari 43 juta akun yang terkena dampaknya. Beberapa bulan menyusul pembobolan itu, Last.fm juga telah mengeluarkan pengumuman dan meminta penggunanya untuk mengganti password mereka.
Laporan ini diberikan oleh LeakedSource, sebuah situs notifikasi peretasan dan pembobolan data. Mereka mengklaim telah mendapatkan duplikat database yang diretas. Setelah melakukan serangkaian analisa dan verifikasi, LeakedSource akhirnya mempublikasikan penemuannya pada Kamis (01 September 2016). Mereka menjelaskan bahwa data tersebut mereka dapatkan dari [email protected] dan seperti yang dijelaskan sebelumnya, sebenarnya Last.fm sudah mengetahui adanya pembobolan ini, namun baru sekarang datanya muncul ke publik.
Data yang bocor itu memuat informasi mengenai username, alamat email, password, tanggal bergabung, dan beberapa data internal lainnya. Data yang didapatkan sudah diverifikasi dan terbukti kebenarannya. Saya sendiri termasuk salah satu pengguna Last.fm yang kena dampak peretasan ini. Untuk mengetahui apakah informasi pada akun Anda Last.fm ada ikut bocor, Anda bisa mengeceknya di sini. Jika Anda menemukan informasi pribadi ada pada database LeakedSource, Anda dapat meminta pada situs tersebut untuk menghapus informasi pribadi Anda secara gratis.
Yang membuat saya lebih cemas itu sebenarnya adalah password yang berhasil bocor. Di Last.fm sendiri, data hashed password diamankan dengan menggunakan algoritma hashing MD5. MD5 sendiri sebenarnya sudah dianggap ketinggalan zaman sejak beberapa tahun sebelumnya. Bahkan sejak tahun 2012, pembuat algoritma tersebut sudah memberitahukan bahwa MD5 tidak lagi aman. Kasus ini hampir serupa dengan peretasan Dropbox, yang dataya baru muncul ke permukaan pada Rabu lalu (31 Agustus 2016). Pada kasus dropbox, data-data ini diamankan oleh algoritma SHA-1 yang sudah makin tidak aman karena teknologi komputasi yang kini semakin canggih saja.