Raksasa ritel mewah asal Inggris, Harrods, mengonfirmasi insiden kebocoran data yang mengekspos sekitar 430.000 catatan pelanggan e-commerce. Peretasan ini terjadi melalui kompromi pada pihak ketiga penyedia layanan, dan tidak berkaitan dengan serangan siber pada Mei lalu yang dikaitkan dengan kelompok Scattered Spider.
Kronologi Insiden
- Harrods menyatakan telah memberi tahu pelanggan terdampak pada Jumat lalu.
- Data yang terekspos meliputi nama dan detail kontak, serta sejumlah label internal yang digunakan untuk pemasaran dan layanan, seperti tingkat keanggotaan atau afiliasi dengan kartu co-branded Harrods.
- Meski demikian, Harrods menegaskan bahwa password akun, informasi pembayaran, dan riwayat pesanan tidak termasuk dalam data yang bocor.
Potensi Keterkaitan Supply-Chain Attack
Insiden ini terjadi beberapa bulan setelah serangan supply chain Salesloft yang memanfaatkan token OAuth curian untuk mengakses lingkungan Salesforce pelanggan dan mengekstraksi data. Ratusan perusahaan di seluruh dunia terdampak serangan tersebut, sehingga ada kemungkinan kebocoran Harrods terkait dengan kampanye ini.
Respons Harrods
- Perusahaan menolak untuk mengungkap identitas penyedia pihak ketiga yang menjadi celah peretasan.
- Harrods menyebut pelaku ancaman telah menghubungi mereka secara langsung, diduga dengan tujuan pemerasan, namun pihak perusahaan menegaskan tidak akan bernegosiasi.
- Otoritas terkait telah diberitahu, dan Harrods mengklaim sedang bekerja sama penuh dalam penyelidikan.
Risiko Bagi Pelanggan
Meski informasi finansial aman, data pribadi yang terekspos tetap dapat dimanfaatkan dalam phishing atau rekayasa sosial. Pelanggan diimbau untuk:
- Waspada terhadap email atau SMS mencurigakan.
- Tidak mengklik tautan dari pengirim tidak dikenal.
- Memantau komunikasi resmi dari Harrods terkait langkah mitigasi lebih lanjut.
Kebocoran ini menjadi peringatan baru bahwa bahkan perusahaan ritel bergengsi dengan sejarah panjang seperti Harrods tetap rentan terhadap serangan rantai pasok yang semakin kompleks.
Sumber: BleepingComputer