Data Pelanggan Jaringan Supermarket Macy's Bobol

Cyberthreat.id - Jaringan departement store terbesar Amerika Serikat (AS), Macy's mengalami kebocoran data yang menyebabkan peretas berhasil memperoleh akses informasi pribadi dan keuangan pelanggan, termasuk nomor kartu kredit dan kode keamanan kartu.

"Macy's telah mengalami kebocoran data yang memalukan," tulis laporan Security Bitdefender, Rabu (20 November 2019).

Macy's adalah departement store terbesar di AS dari sisi penjualan ritel. Jaringannya mencapai 584 toko yang beroperasi di seluruh AS hingga Puerto Riko, Guam dan beberapa negara. Macy's Herald Square, markas besar sekaligus toko utama, berada di Herald Square, Manhattan, New York City. Total pekerja mencapai 130 ribu karyawan dan pendapatan tahunan Macy's (tahun 2017) mencapai 24,8 miliar USD (Rp 352 triliun).

Dalam surat kepada pelanggan yang terkena dampak kebocoran data, Macy's mengungkapkan bahwa penjahat cyber atau sekelompok peretas menargetkan situs macys.com dengan kode jahat yang ditempatkan secara strategis di halaman checkout dan halaman Akun Saya (My Account).

"Tujuannya untuk mengambil informasi kartu kredit yang akan digunakan untuk kegiatan penipuan."

Perusahaan sebenarnya telah memperhatikan aktivitas mencurigakan pada 15 Oktober dan langsung memulai penyelidikan. Ternyata, upaya akses ilegal atau peretasan diketahui telah terjadi sejak 7 Oktober. Dalam rentang waktu delapan hari tersebut, penyerang melakukan aksi pencurian data pribadi dan keuangan untuk melakukan penipuan dan pencurian identitas.

Dalam pemberitahuan lebih lanjut, Macy's menyatakan para penjahat siber  'berpotensi' mengakses nama depan pelanggan, nama belakang, alamat, nomor telepon, email, dan nomor kartu pembayaran, kode keamanan dan tanggal kedaluwarsa, serta nilai-nilai lain yang diketik ke dalam halaman web saat berada di halaman checkout situs Macy's atau halaman wallet My Account.

Namun, perusahaan juga menegaskan bahwa pelanggan yang terdampak hanyalah pengguna PC dan laptop.

"Pelanggan yang berinteraksi dengan halaman Check Account pada perangkat seluler atau aplikasi seluler macys.com tidak terlibat dalam insiden ini."

Untuk melindungi pelanggan dari penipuan Phishing yang memanfaatkan data curian ini, perusahaan menggarisbawahi bahwa 'Macy's tidak akan pernah meminta pelanggan untuk memberikan password macys.com atau pertanyaan keamanan melalui telepon, email, atau pesan teks'.

Sebagai tindak lanjut Macy's akan memberikan pelanggan yang terdampak dengan berbagai layanan tambahan. Perusahaan juga menginstruksikan pelanggan untuk "tetap waspada atas insiden penipuan keuangan dan pencurian identitas dengan secara teratur meninjau laporan akun pelanggan.

"Segera laporkan aktivitas mencurigakan kepada penerbit kartu jika menemukan keanehan dan hal yang tidak biasa. Pelanggan juga bisa menghubungi penerbit kartu dan memberi tahu pelanggaran terhadap macys.com, serta meminta langkah yang tepat untuk melindungi akun mereka."