Lovesac, produsen furnitur asal Amerika Serikat dengan 267 showroom di seluruh negeri dan pendapatan tahunan mencapai $750 juta, mengumumkan terjadinya insiden pelanggaran data yang berdampak pada sejumlah individu yang belum diketahui secara pasti. Data pribadi yang terekspos mencakup nama lengkap serta informasi lain yang tidak dirinci dalam pemberitahuan resmi kepada otoritas terkait.
Kronologi Insiden dan Respon Perusahaan
Antara 12 Februari hingga 3 Maret 2025, peretas secara tidak sah mendapat akses ke sistem internal Lovesac dan menyalin data yang ada di dalamnya. Laporan pelanggaran ini pertama kali terdeteksi pada 28 Februari 2025, dan selama tiga hari berikutnya perusahaan melakukan remediasi serta memblokir akses pelaku ke jaringan. Meski Lovesac tidak mengungkap secara spesifik siapa yang terdampak—apakah pelanggan, karyawan, atau kontraktor—perusahaan telah mulai mengirimkan surat notifikasi kepada para korban, menawarkan layanan pemantauan kredit gratis yang berlaku selama 24 bulan melalui Experian.
Saat ini, Lovesac belum menemukan indikasi penyalahgunaan data yang dicuri, namun tetap mengimbau para korban untuk waspada terhadap upaya phishing dan ancaman keamanan digital lainnya.
Peran RansomHub dan Ancaman Kebocoran Data
Pada 3 Maret 2025, kelompok ransomware RansomHub mengklaim bertanggung jawab atas insiden ini dengan menambahkan Lovesac ke portal pemerasan mereka serta mengancam akan membocorkan data yang dicuri jika tidak ada pembayaran tebusan. Tidak ada konfirmasi apakah Lovesac melakukan negosiasi atau pembayaran, maupun apakah ancaman tersebut benar-benar direalisasikan. RansomHub sendiri dikenal sebagai operasi ransomware-as-a-service (RaaS) yang telah menargetkan sejumlah perusahaan besar di berbagai sektor sebelum akhirnya banyak afiliasinya beralih ke kelompok DragonForce pada April 2025.
Tindakan Pencegahan dan Imbauan kepada Publik
Sebagai respons atas insiden ini, Lovesac telah memperkuat kebijakan dan kontrol akses data internal serta melaporkan kejadian tersebut kepada regulator yang relevan. Korban dianjurkan untuk segera mendaftar layanan pemantauan kredit, mengganti kata sandi akun, dan mengawasi aktivitas keuangan serta laporan kredit secara rutin.