Situs Toserba Diretas, 100 Ribu Data Kartu Pembayaran Dijual
Jaringan toserba dan pompa bensin, Wawa Inc
Cyberthreat.id - Wawa Inc, sebuah jaringan toko serba ada (toserba) dan pompa bensin di Amerika Serikat, mengalami peretasan data pembayaran pelanggannya. Pelaku peretasan kemudian menjual data pembayaran berupa informasi kartu debit dan kartu kredit secara online.
Dkutip dari Bloomberg.com, Rabu (29 Januari 2020) informasi itu datang dari Gemini Advisory, perusahaan yang aktif melacak penipuan online.
Peretasan ini termasuk yang terbesar pada 2019, dan boleh jadi termasuk yang terbesar dalam sejarah pencurian data kartu pembayaran. Sebab,"jaringan Wawa Inc memiliki 850 toko dan 30 juta riwayat pembayaran," kata Gemini Advisory dalam laporan yang dirilis pada 28 Januari kemarin.
Gemini menemukan bahwa data dari kartu pembayaran yang digunakan pelanggan Wawa --kebanyakan dikeluarkan oleh perbankan Amerika-- tersedia untuk dijual di Joker's Stash, pasar online yang dikenal sebagai tempat data kartu kredit dan debit diperjualbelikan.
Data yang dicuri termasuk nama pemilik kartu, nomor kartu, dan tanggal kadaluarsanya.
Sejak Senin lalu, hampir 100 ribu data kartu pembayaran ditawarkan ke pembeli, namun Joker's Stash mengklaim memiliki data dari 30 juta kartu milik pelanggan Wawa. Menurut Gemini, sepertinya data lain akan segera menyusul untuk dipasarkan online.
Situs Zdnet.com melaporkan bahwa rincian data kartu pembayaran itu telah diiklankan untuk dijual di bawah nama BIGBADABOOM-III. Setelah ditelusuri oleh para ahli Gemini Advisory, data kartu tersebut terlacak berasal dari sistem Wawa.
"Bigbadaboom-III breach at Joker's Stash! The most biggest breach for the lates 5 years," demikian antara lain bunyi iklan itu.
Tangkapan layar iklan woro-woro penjualan data kartu pembayaran di Joker's Stash | Zdnet
Sebulan lalu, pada Desember 2019, Wawa Inc. mengungkapkan adanya pelanggaran keamanan besar di sistem jaringan mereka. Perusahaan mengakui bahwa peretas menanam malware pada sistem sistem penjualan mereka dan tidak terdeteksi selama berbulan-bulan, antara 4 Maret hingga 12 Desember, sebelum malware itu terdeteksi dan dihapus dari sistem perusahaan.
Wawa mengatakan malware mengumpulkan detail kartu semua pelanggan yang membeli barang di toko-toko dan pompa bensin milik perusahaan itu. Perusahaan mengatakan peretasan itu berdampak pada 860 toko ritelnya, di mana 600 diantara adalah pompa bensin.
Dalam siaran pers terbaru yang dirilis pada 28 Januari kemarin, Wawa menyadari bahwa kartu pembayaran pelanggan mereka kini ditawarkan online. Perusahaan juga mengonfirmasi laporan Gemini Advisory yang menyebutkan tumpukan data kartu itu berasal dari sistem mereka.
Namun begitu, perusahaan meyakini bahwa,"hanya informasi kartu pembayaran yang terlibat, dan tidak ada nomor PIN kartu debit, nomor CVV2 kartu kredit, atau informasi pribadi lainnya yang terlibat."
Namun, klaim itu berbeda dengan temuan dari sampel kartu yang diperoleh ZDnet.com, dimana menyertakan nomor CVV2, yaitu tiga angka di belakang kartu yang biasanya dipakai untuk memproses pembayaran.
“Kami terus mendorong pelanggan kami untuk tetap waspada dalam meninjau tagihan pada laporan kartu pembayaran mereka dan untuk segera melaporkan setiap penggunaan tidak sah ke bank atau lembaga keuangan yang mengeluarkan kartu pembayaran mereka dengan memanggil nomor di belakang kartu,” kata perusahaan.
Sementara itu, Wawa yang melayani sekitar 700 juta pelanggan setiap tahun mengatakan tidak dapat mengungkapkan berapa banyak kartu yang terkespos dalam pelanggaran data.
Juru bicara Wawa, Lori Bruce, mengatakan mereka bekerja sama dengan perusahaan forensik eksternal terkemuka, pemroses pembayaran, dan penegak hukum untuk menangani masalah itu.[]
Editor: Yuswardi A. Suud
Baca juga:
Peretas Twitter 15 Tim American Football Ungkap Jatidirinya
