Audit Akun Digital:
Cek Kebocoran & Bersihkan Jejak

Have I Been Pwned (HIBP) — dibuat oleh peneliti keamanan Troy Hunt — adalah database terbesar yang mengindeks data dari ribuan kebocoran data publik. Ketika sebuah perusahaan diretas dan data penggunanya bocor, HIBP mengindeks email yang terdampak sehingga Anda bisa mengetahui apakah email Anda ada di dalamnya.

Cara Menggunakan Have I Been Pwned

1. Buka haveibeenpwned.com
2. Masukkan alamat email Anda → klik "pwned?"
3. Ulangi untuk setiap email yang pernah Anda gunakan — email lama, email kerja, email alternatif
4. Catat semua breach yang ditemukan dan layanan mana yang terdampak

Cek Password yang Bocor (Tanpa Kirim Password ke Server)

HIBP juga menyediakan fitur Pwned Passwords — cek apakah password tertentu pernah muncul di breach. Teknisnya aman: HIBP menggunakan k-anonymity sehingga password asli Anda tidak pernah dikirim ke server mereka.

1. Buka haveibeenpwned.com/Passwords
2. Ketik password yang ingin dicek → HIBP hanya mengirim 5 karakter pertama dari hash password
3. Jika muncul angka berapa kali password itu ditemukan → ganti password itu di semua layanan yang menggunakannya

Aktifkan Notifikasi HIBP

HIBP bisa mengirimkan notifikasi email otomatis jika email Anda muncul di breach baru. Fitur ini gratis dan sangat berguna sebagai sistem peringatan dini.

1. Buka haveibeenpwned.com/NotifyMe
2. Masukkan email Anda → klik Notify me → konfirmasi via email yang dikirim
3. Ulangi untuk setiap email yang ingin dipantau

• Semua email saya sudah dicek di HIBP
• Semua breach yang ditemukan sudah dicatat beserta layanan yang terdampak
• Password yang bocor sudah diidentifikasi untuk diganti di Langkah 2
• Notifikasi HIBP sudah diaktifkan untuk semua email saya

Password manager Bitwarden memiliki fitur Vault Health Reports yang menganalisis semua password tersimpan dan mengidentifikasi masalah. Ini adalah cara paling efisien untuk menemukan password bermasalah di ratusan akun sekaligus.

Menggunakan Bitwarden Health Reports

1. Buka vault.bitwarden.com → login
2. Klik Reports di menu kiri
3. Jalankan semua laporan berikut satu per satu:

Strategi Mengganti Password secara Efisien

Jika Anda menemukan 50+ password bermasalah, jangan mencoba mengganti semua sekaligus — ini memakan waktu dan rawan kesalahan. Prioritaskan berdasarkan dampak:

1. Prioritas 1 — Kritis (hari ini): Email utama, perbankan, e-wallet, akun yang terhubung ke banyak layanan lain via SSO
2. Prioritas 2 — Penting (minggu ini): Media sosial, marketplace, akun kerja, akun yang menyimpan data pribadi
3. Prioritas 3 — Lainnya (bulan ini): Forum, situs berita, layanan streaming, dan layanan lain yang tidak menyimpan data sensitif

• Bitwarden Health Reports sudah dijalankan dan hasilnya dicatat
• Semua password yang muncul di "Exposed Passwords" sudah diganti
• Semua password di "Reused Passwords" untuk akun kritis sudah diganti dengan password unik
• Password baru dibuat menggunakan generator Bitwarden (bukan dibuat manual)

Aplikasi di smartphone dan ekstensi browser sering meminta izin yang jauh melebihi kebutuhan fungsinya. Izin yang tidak diperlukan adalah vektor serangan — jika aplikasi diretas atau dijual ke pihak tidak bertanggung jawab, data yang bisa diaksesnya ikut terekspos.

Izin Berisiko Tinggi yang Perlu Diperhatikan

Cara Audit Izin di Android

Cara Audit Izin di iPhone/iPad

Audit Ekstensi Browser

Ekstensi browser memiliki akses yang sangat luas — banyak ekstensi bisa membaca seluruh konten halaman web yang Anda kunjungi, termasuk form login dan informasi kartu kredit yang diisi.

• Semua izin aplikasi di HP sudah diaudit (minimal Lokasi, Kamera, Mikrofon, Kontak, SMS)
• Izin berlebihan sudah dicabut dari aplikasi yang tidak memerlukannya
• Semua ekstensi browser sudah ditinjau dan yang tidak digunakan sudah dihapus

Setiap kali Anda mengklik "Login dengan Google" atau "Login dengan Facebook", Anda memberi aplikasi tersebut akses ke akun Google/Facebook Anda. Akses ini tetap aktif bahkan setelah Anda berhenti menggunakan aplikasinya. Ratusan aplikasi yang pernah Anda coba mungkin masih memiliki akses ke akun Anda hari ini.

Audit Aplikasi yang Terhubung ke Google

1. Buka myaccount.google.com/permissions
2. Tinjau daftar aplikasi yang memiliki akses ke akun Google Anda
3. Klik aplikasi → lihat jenis akses yang diberikan (baca email, kontak, Drive, dll.)
4. Klik "Hapus Akses" untuk aplikasi yang tidak lagi digunakan atau tidak Anda kenal
5. Prioritaskan mencabut akses dari aplikasi yang memiliki: akses baca/tulis Gmail, akses Google Drive, akses kontak lengkap

Audit Aplikasi yang Terhubung ke Facebook

1. Buka Facebook → Pengaturan → Aplikasi dan Situs Web
2. Di tab "Aktif": tinjau semua aplikasi yang masih aktif → hapus yang tidak digunakan
3. Di tab "Kedaluwarsa": hapus semua — akses mungkin sudah mati tapi data Anda sudah dibagikan
4. Di tab "Dihapus": informasi historis saja, tidak perlu tindakan

Audit di Platform Lain

• Twitter/X: twitter.com → Pengaturan → Keamanan dan akses akun → Aplikasi dan sesi → Aplikasi terhubung
• GitHub: github.com → Settings → Applications → Authorized OAuth Apps
• Microsoft: account.microsoft.com → Privasi → Aplikasi dan layanan
• Apple ID: appleid.apple.com → Sign In with Apple
• LinkedIn: linkedin.com → Pengaturan → Privasi data → Aplikasi dan layanan yang diizinkan

• Aplikasi terhubung ke Google sudah ditinjau dan yang tidak digunakan sudah dicabut aksesnya
• Aplikasi terhubung ke Facebook sudah dibersihkan
• Platform lain yang sering digunakan (Twitter, GitHub, Microsoft) sudah diaudit

Rata-rata pengguna internet memiliki 100+ akun online — sebagian besar tidak aktif dan terlupakan. Akun yang tidak digunakan tetap menjadi target: jika layanan tersebut diretas, data Anda yang tersimpan di sana bocor meski Anda sudah bertahun-tahun tidak menggunakannya.

Metode 1: Cari Email Pendaftaran

Cara paling efektif menemukan akun lama adalah mencari email konfirmasi pendaftaran di inbox Anda:

1. Buka Gmail/ProtonMail/email Anda
2. Cari dengan kata kunci berikut (satu per satu):
   subject:("selamat datang" OR "welcome" OR "konfirmasi" OR "verify your email" OR "confirm your email")
3. Filter berdasarkan tahun — mulai dari yang paling lama (2010, 2011, dst.)
4. Buat daftar semua layanan yang ditemukan

Metode 2: Cek Username yang Pernah Digunakan

whatsmyname.app dan namechk.com bisa memeriksa apakah username Anda terdaftar di ratusan platform sekaligus. Masukkan username yang biasa Anda gunakan — hasilnya menunjukkan di platform mana akun dengan username tersebut ada.

Metode 3: Lihat Password yang Tersimpan di Browser

1. Chrome: chrome://settings/passwords
2. Firefox: about:logins
3. Safari: Pengaturan → Sandi

Password yang tersimpan di browser adalah indikator akun yang pernah Anda login. Export daftarnya (jika memungkinkan) → import ke Bitwarden → audit dan bersihkan.

• Pencarian email untuk akun lama sudah dilakukan (minimal 5 tahun ke belakang)
• Username yang biasa digunakan sudah dicek di whatsmyname.app
• Password tersimpan di browser sudah diperiksa dan diimport ke Bitwarden
• Daftar akun yang perlu ditindaklanjuti sudah dibuat

Setelah menemukan akun lama di Langkah 5, saatnya menutup akun yang tidak lagi Anda butuhkan. Akun yang ditutup tidak bisa diretas, tidak bisa dipakai untuk melacak Anda, dan datanya (idealnya) dihapus dari server layanan tersebut.

Gunakan JustDeleteMe

justdeleteme.xyz adalah direktori yang menunjukkan seberapa mudah menghapus akun di ratusan layanan populer. Setiap layanan diberi rating:

• 🟢 Mudah — ada tombol hapus akun langsung di pengaturan
• 🟡 Sedang — perlu menghubungi support atau melalui proses beberapa langkah
• 🔴 Sulit — layanan mempersulit penghapusan atau tidak menyediakan opsi hapus
• ⬛ Tidak bisa — akun tidak bisa dihapus sama sekali

Prosedur Penghapusan Akun yang Benar

1. Login ke akun (gunakan "Lupa Password" jika perlu untuk masuk ke akun lama)
2. Unduh data Anda jika ada opsi export data — beberapa layanan menyimpan konten yang mungkin masih Anda inginkan
3. Cabut semua aplikasi terhubung di pengaturan akun sebelum menghapus
4. Ubah email ke email throwaway (opsional) — mencegah data lama terhubung ke email utama Anda
5. Hapus akun via pengaturan atau via link yang disediakan JustDeleteMe
6. Konfirmasi email penghapusan jika diminta
7. Hapus entri dari Bitwarden setelah akun berhasil dihapus

Layanan yang Sulit Dihapus

Beberapa layanan memang dirancang untuk menyulitkan penghapusan. Untuk kasus ini:

• Hubungi customer service via email dan minta penghapusan akun secara eksplisit
• Referensikan kebijakan privasi mereka yang biasanya menjanjikan hak penghapusan
• Jika gagal: ganti semua informasi profil ke data palsu (nama, tanggal lahir, nomor HP) lalu biarkan akun tidak aktif — ini meminimalkan data valid yang tersimpan

• Daftar akun dari Langkah 5 sudah dipilah: hapus vs pertahankan
• Akun yang akan dihapus sudah diproses via JustDeleteMe atau pengaturan langsung
• Entri Bitwarden untuk akun yang sudah dihapus sudah dibersihkan

Setiap kali Anda login ke sebuah layanan dari perangkat baru, sesi login disimpan. Jika Anda pernah login di komputer warnet, hotel, HP teman, atau perangkat yang sejak itu dijual — sesi tersebut mungkin masih aktif dan orang lain masih bisa mengakses akun Anda.

Audit Sesi di Layanan Utama

• Google: myaccount.google.com/device-activity → lihat semua perangkat aktif → klik perangkat yang tidak dikenal → "Keluar"
• Facebook: Pengaturan → Keamanan dan login → Di mana Anda login → klik "..." → Keluar
• Instagram: Pengaturan → Keamanan → Aktivitas login → logout dari sesi tidak dikenal
• Twitter/X: Pengaturan → Keamanan dan akses akun → Aplikasi dan sesi → Sesi → "Logout semua perangkat lain"
• WhatsApp: Pengaturan → Perangkat tertaut → hapus perangkat yang tidak dikenal
• Microsoft: account.microsoft.com/security → Aktivitas masuk terbaru
• Apple ID: appleid.apple.com → Perangkat → hapus perangkat yang tidak digunakan
• Bitwarden: vault.bitwarden.com → Pengaturan → Sesi aktif → Batalkan sesi yang tidak dikenal

• Sesi aktif di Google sudah diaudit dan yang tidak dikenal sudah dilogout
• Sesi aktif di media sosial utama sudah diaudit
• Perangkat yang terdaftar di Apple ID / Samsung account sudah diperiksa

Ironi keamanan digital yang sering diabaikan: Anda sudah menggunakan password kuat dan 2FA — tapi akun bisa direset melalui email pemulihan yang sudah tidak aktif, nomor HP yang sudah berganti, atau pertanyaan keamanan dengan jawaban yang mudah ditebak dari profil media sosial Anda.

Audit Email Pemulihan

• Periksa email pemulihan di akun Google, Microsoft, Facebook, Instagram, Twitter, dan layanan penting lainnya
• Pastikan email pemulihan adalah email aktif yang Anda miliki dan aman (idealnya ProtonMail dari Modul 05)
• Jangan gunakan email kerja sebagai email pemulihan — jika Anda keluar dari pekerjaan, akses ke email itu hilang
• Jangan gunakan email yang sama sebagai email utama dan email pemulihan — jika email utama diretas, pemulihan juga ikut terkena

Audit Nomor HP Backup

• Verifikasi nomor HP yang terdaftar sebagai backup 2FA masih aktif dan milik Anda
• Nomor prabayar yang tidak diisi pulsa bisa hangus dan diambil orang lain — sangat berbahaya jika masih terdaftar sebagai nomor pemulihan
• Pertimbangkan menggunakan nomor HP tetap (pascabayar) untuk pemulihan akun penting

Hapus Pertanyaan Keamanan

Pertanyaan keamanan seperti "Nama ibu kandung?" atau "Nama sekolah SD?" adalah celah keamanan klasik. Jawaban pertanyaan ini sering bisa ditebak dari media sosial atau percakapan publik. Solusinya:

• Jika layanan mengharuskan pertanyaan keamanan: isi dengan jawaban acak yang disimpan di Bitwarden, bukan jawaban yang benar. Contoh: untuk pertanyaan "Nama hewan peliharaan pertama?", isi dengan KxR9#mP2qL7 dan simpan di Bitwarden Notes
• Jika layanan tidak mengharuskan: hapus atau nonaktifkan pertanyaan keamanan

Simpan Backup Codes 2FA dengan Aman

• Setiap layanan yang menggunakan 2FA biasanya menyediakan backup codes — kode satu kali yang bisa digunakan jika aplikasi authenticator hilang
• Simpan backup codes di Bitwarden Notes (bukan hanya di HP) — sehingga bisa diakses dari perangkat lain jika HP hilang
• Jangan simpan backup codes di cloud storage yang tidak terenkripsi (Google Drive, Dropbox)

• Email pemulihan di semua akun penting sudah diverifikasi dan masih aktif
• Nomor HP backup sudah diverifikasi masih aktif dan milik saya
• Pertanyaan keamanan sudah diganti dengan jawaban acak yang disimpan di Bitwarden
• Backup codes 2FA sudah disimpan di Bitwarden Notes

Audit yang dilakukan sekali tapi tidak diulang hanya memberikan perlindungan sementara. Ancaman keamanan digital terus berkembang — layanan baru diretas, aplikasi baru meminta izin, akun baru dibuat dan dilupakan. Jadwal audit rutin adalah cara mempertahankan keamanan yang sudah dibangun.

Cara Membuat Pengingat Audit

• Google Calendar / Apple Calendar: Buat event berulang — "Audit keamanan digital kuartalan" setiap 3 bulan
• Bitwarden Notes: Simpan checklist audit ini di Bitwarden sebagai referensi cepat
• Pilih tanggal yang mudah diingat: Contoh — awal tahun (1 Januari), hari ulang tahun, atau awal setiap kuartal

• Jadwal audit bulanan sudah dibuat di kalender
• Jadwal audit kuartalan sudah dibuat di kalender
• Checklist ini disimpan di Bitwarden Notes sebagai referensi