Hacker Posting 70 Juta Pelanggan Perusahaan Kacamata Terbesar Dunia
Cyberthreat.id – Perusahaan kacamata terbesar di dunia, Luxottica, telah mengonfirmasi salah satu mitranya mengalami pelanggaran data pada tahun 2021 yang mengungkap informasi pribadi 70 juta pelanggan setelah basis data diposting bulan ini secara gratis di forum peretasan.
Luxottica adalah perusahaan kacamata, pembuat bingkai resep terbesar di dunia, dan pemilik merek populer seperti Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce and Gabbana, Burberry, Giorgio Armani, Michael Kors, dan banyak lainnya. Perusahaan juga mengoperasikan Eyemed, sebuah perusahaan asuransi visi di AS.
Pada November 2022, BleepingComputer melaporkan, anggota forum peretas "Breached" yang sekarang sudah tidak berfungsi mencoba menjual apa yang dia klaim sebagai basis data 2021 yang berisi 300 juta catatan informasi pribadi terkait pelanggan Luxottica di Amerika Serikat dan Kanada. Menurut penjual, database berisi informasi pribadi pelanggan, seperti alamat email, nama depan dan belakang, alamat, dan tanggal lahir.
Dump itu ditawarkan untuk penjualan pribadi pada saat Melanggar, jadi tidak jelas apakah datanya dicuri dalam serangan baru atau selama dua serangan yang terkena dampak perusahaan pada tahun 2020.
Luxottica mengalami pelanggaran data pada Agustus 2020 yang mengungkap informasi pribadi 829.454 pasien EyeMed dan Lenscrafters. Bulan berikutnya, Luxottica kembali mengalami serangan, kali ini serangan ransomware yang mematikan operasi perusahaan di Italia dan China.
Namun, baru-baru ini, database bocor secara keseluruhan secara gratis pada tanggal 30 April dan 12 Mei 2023, di berbagai forum peretasan, membuat data tersebut jauh lebih mudah diakses oleh pelaku ancaman.
Andrea Draghetti, peneliti terkemuka dari perusahaan cybersecurity Italia D3Lab, menganalisis data yang bocor dan mengonfirmasi ke BleepingComputer bahwa data tersebut berisi 305 juta baris, 74,4 juta alamat email unik, dan 2,6 juta alamat email domain unik.
Draghetti juga menentukan tanggal eksfiltrasi menjadi 16 Maret 2021, berdasarkan catatan database terbaru, yang berarti bahwa data tersebut kemungkinan berasal dari pelanggaran data yang sebelumnya dirahasiakan.
Setelah BleepingComputer menghubungi Luxottica tentang data yang dipublikasikan, perusahaan mengonfirmasi bahwa data yang bocor berasal dari insiden keamanan yang berdampak pada kontraktor pihak ketiga yang menyimpan data pelanggan.
Saat ditanya kapan mereka pertama kali menyadari pelanggaran tersebut, juru bicara Luxottica menjawab: “Kami pertama kali mengetahui insiden tersebut dari postingan pihak ketiga di dark web pada November 2022.”
Troy Hunt, pemilik layanan pemberitahuan pelanggaran data “Have I Been Pwned” (HIBP), mengatakan kepada BleepingComputer bahwa data yang bocor mencakup 77.093.812 akun unik, 74% di antaranya sudah ada dalam catatan platform.
Hunt memberi tahu bahwa HIBP akan mengirimkan lebih dari 320.000 pemberitahuan tentang pelanggaran kepada pelanggan platform hari ini terkait pelanggaran data Luxottica 2021.[]
