Bug di Adobe Analytics Bocorkan Data Pelacakan Antar Pelanggan

Adobe memperingatkan pelanggan Adobe Analytics mengenai bug serius yang menyebabkan data dari sejumlah organisasi muncul di instance analytics milik pelanggan lain. Insiden ini berlangsung sekitar satu hari pada 17 September 2025, sebelum akhirnya dikendalikan.
Kronologi Insiden
Menurut status resmi Adobe, masalah dimulai pada 17 September 2025 pukul 12:20 UTC, ketika perubahan optimisasi performa di sistem Analytics Edge data collection memperkenalkan bug yang memicu nilai keliru (errant values) dalam laporan Analysis Workspace.
Bug tersebut berdampak pada berbagai layanan, termasuk Data Collection, Media Processing, Customer Attributes, serta aplikasi pelaporan lain. Adobe melakukan rollback pada 18 September pukul 11:00 UTC, dan menegaskan bahwa insiden ini bukan akibat aktivitas berbahaya atau serangan siber.
Dampak yang Lebih Serius
Dalam pemberitahuan internal yang dilihat BleepingComputer, terungkap bahwa masalah ini menyebabkan beberapa field data tertukar antar pelanggan. Dengan kata lain, data pelacakan milik organisasi A dapat muncul di laporan milik organisasi B.
Dampak langsungnya:
- Sekitar 3–5% data yang dikumpulkan terpengaruh.
- Data korup ditemukan pada Data Feeds, Live Stream, scheduled reports, dan integrasi lain.
- Produk lain yang mengandalkan Adobe Analytics juga ikut terdampak, termasuk Customer Journey Analytics, Real-Time CDP, dan Adobe Journey Optimizer.
Seorang konsultan Adobe Analytics menyebut, “Web tracking perusahaan A bisa saja berisi informasi dari perusahaan B, termasuk data sensitif seperti alamat email, session hash, hingga data pencarian di situs.”
Instruksi Adobe untuk Pelanggan
Adobe meminta seluruh pelanggan yang menggunakan Data Feeds atau Live Stream agar segera:
- Menghapus data yang dikumpulkan antara 17 September 12:20 UTC hingga 18 September 11:00 UTC.
- Membersihkan data terkait dari sistem utama, backup, dan downstream environments.
Langkah ini diperlukan untuk mencegah retensi atau penggunaan data yang tidak semestinya. Adobe menegaskan bahwa satu-satunya pihak yang mungkin melihat data tersebut hanyalah pelanggan kontrak Adobe lain yang ikut terdampak.
Risiko Regulasi
Walau Adobe menyatakan Analytics tidak dimaksudkan untuk menyimpan data pribadi, dalam praktiknya beberapa pelanggan melanggar kebijakan tersebut. Hal ini meningkatkan risiko kepatuhan terhadap regulasi privasi seperti GDPR, CPPA, maupun VPPA.
Karena data yang sudah tercampur dapat masuk ke backup, ekspor, dan sistem intelijen bisnis, konsekuensi jangka panjang dari insiden ini bisa sangat luas.
Adobe saat ini masih melakukan pembersihan data dan berjanji akan memberi tahu pelanggan begitu sistem kembali dapat digunakan untuk pelaporan valid.
Sumber: Adobe