Para pelaku kejahatan siber berhasil mencuri data pribadi jutaan pelanggan dari Kering, perusahaan multinasional asal Perancis. Data yang dicuri mencakup nama lengkap, alamat email, nomor telepon, alamat rumah, hingga total belanja pelanggan di butik-butik mewah tersebut di seluruh dunia.
Kering sendiri adalah perusahaan induk dari merek fashion papan atas seperti Balenciaga, Gucci, dan Alexander McQueen. Juru bicara Kering telah mengonfirmasi terjadinya pelanggaran data itu dan melaporkan insiden tersebut kepada otoritas perlindungan data yang berwenang. Mereka juga menegaskan, tidak ada data finansial, seperti nomor kartu kredit maupun informasi rekening bank, yang dicuri.
Sayangnya, Kering tidak memberikan pernyataan publik resmi terkait kebocoran tersebut. Secara hukum, perusahaan memang tidak diwajibkan membuat pernyataan publik selama setiap individu yang terdampak telah diberi pemberitahuan secara langsung.
Siapa Hacker Pencuri Data Balenciaga
Pelaku kejahatan siber yang bertanggung jawab atas serangan siber itu menyebut diri mereka Shiny Hunters. Shiny Hunters mengklaim memiliki data terkait 7,4 juta alamat email unik yang berarti jumlah korban potensial bisa mencapai angka yang sama. BBC sempat menerima contoh kecil data curian ini sebagai bukti, yang berisi ribuan detail pelanggan. Hasilnya terbukti asli.
Salah satu informasi paling sensitif dalam data curian tersebut adalah kolom “Total Sales” yang menunjukkan berapa banyak uang yang dihabiskan pelanggan di tiap merek. Dalam sampel data yang dianalisis BBC, ada pelanggan yang telah menghabiskan lebih dari USD10.000, bahkan ada sebagian kecil pelanggan yang tercatat berbelanja antara USD30.000 hingga USD86.000.
Kondisi itu menimbulkan kekhawatiran serius jika Shiny Hunters memutuskan membocorkan data tersebut kepada kelompok kriminal lain karena pelanggan dengan pengeluaran tinggi bisa menjadi target lanjutan dari penipuan atau serangan siber lain.
Melalui percakapan di aplikasi Telegram dengan BBC, Shiny Hunters mengakui telah melakukan peretasan pada April lalu melalui sistem Kering. Bahkan, Shiny Hunters sempat menjalin negosiasi dengan perusahaan asal Prancis itu terkait pembayaran tebusan dalam bentuk Bitcoin.
Namun, Kering membantah keras klaim itu dan menegaskan tidak pernah melakukan komunikasi maupun negosiasi dengan pelaku. Kering juga menegaskan menolak membayar tebusan, sesuai anjuran aparat penegak hukum internasional.
“Juni lalu, kami mengidentifikasi ada pihak ketiga yang tidak berwenang sempat memperoleh akses sementara ke sistem kami dan mengambil sebagian data pelanggan dari beberapa unit bisnis. Tidak ada informasi finansial seperti nomor rekening bank, data kartu kredit, atau identitas resmi pemerintah yang terlibat dalam insiden ini. Sistem TI kami kini telah diamankan,” pungkasnya seperti dikutip BBC.
Pelanggaran data yang menimpa Kering pada April lalu terjadi di tengah gelombang serangan terhadap berbagai merek mewah dunia. Cartier dan Louis Vuitton juga mengalami kebocoran data pelanggan pada periode yang hampir bersamaan. Hingga kini, belum diketahui apakah serangan-serangan tersebut terkait dengan Shiny Hunters.
Pada Juni lalu, pakar keamanan siber Google juga mengeluarkan peringatan tentang tren serangan yang berkaitan dengan Shiny Hunters, mengingat Google pernah menjadi salah satu korbannya.
Dalam catatan internal Google, kelompok hacker itu dikenal dengan sebutan UNC6040 dengan metode utamanya adalah menipu karyawan agar memberikan kredensial login untuk sistem Salesforce internal perusahaan.
Apa yang Harus Dilakukan Jika Data Anda Dicuri?
Informasi yang dicuri dalam serangan siber biasanya mencakup nama, alamat, tanggal lahir, hingga riwayat belanja online. Scammer bisa memanfaatkan data itu untuk melakukan penipuan dengan menyamar sebagai lembaga resmi, termasuk bank atau instansi pemerintah. Karena itu, masyarakat diimbau untuk tetap waspada bila menerima email, pesan, atau panggilan telepon yang mencurigakan.
Ingat, penipu sering kali berusaha menekan korban agar segera melakukan tindakan tertentu. Jika menerima telepon dari pihak yang mengaku bank dan Anda ragu akan keasliannya, segera tutup telepon dan hubungi nomor resmi yang tertera di kartu ATM atau situs web bank.
Pusat Keamanan Siber Nasional (NCSC) juga memberikan beberapa tips penting:
- Segera ganti password Anda.
- Aktifkan autentikasi dua faktor (2FA) bila tersedia.
- Gunakan password yang terdiri dari tiga kata acak agar lebih sulit ditebak.
- Jangan pernah menggunakan password yang sama untuk banyak akun.
