Washington Post mulai memberi tahu hampir 10.000 karyawan dan kontraktornya bahwa data pribadi dan finansial mereka telah terekspos akibat serangan pencurian data yang memanfaatkan kelemahan pada perangkat lunak Oracle. Insiden ini menimpa salah satu surat kabar terbesar di Amerika Serikat, yang memiliki sekitar 2,5 juta pelanggan digital.
Antara 10 Juli hingga 22 Agustus, pelaku ancaman berhasil mengakses sebagian jaringan internal perusahaan. Mereka memanfaatkan kerentanan zero-day pada Oracle E-Business Suite, sebuah platform ERP yang banyak digunakan untuk fungsi HR, keuangan, dan rantai pasokan. Setelah mencuri data, para pelaku mencoba memeras Washington Post pada akhir September, bersama sejumlah organisasi besar lain yang diserang melalui celah yang sama.
Dalam pemberitahuan kepada individu terdampak, Washington Post mengungkap bahwa Oracle baru mengungkap kerentanan tersebut saat proses investigasi insiden sedang berjalan. Perusahaan menerima pesan dari pihak yang mengklaim telah mengakses aplikasi Oracle mereka pada 29 September, yang kemudian memicu penyelidikan menyeluruh dengan melibatkan pakar eksternal.
Selama investigasi berlangsung, Oracle mengumumkan bahwa kerentanan yang sebelumnya tidak diketahui itu telah memungkinkan akses tanpa izin ke banyak instalasi E-Business Suite milik pelanggan di seluruh dunia. Meskipun Washington Post tidak menyebutkan pelaku secara eksplisit, kelompok ransomware Clop sebelumnya dikaitkan dengan serangkaian serangan yang mengeksploitasi kerentanan serupa, yang kini teridentifikasi sebagai CVE-2025-61884.
Beberapa organisasi lain yang turut menjadi korban melalui celah yang sama termasuk Harvard University, Envoy Air (anak perusahaan American Airlines), dan GlobalLogic milik Hitachi. Banyak organisasi lain juga tercantum dalam situs kebocoran data Clop, mengindikasikan skala serangan yang lebih luas.
Penyelidikan Washington Post yang selesai pada 27 Oktober mengonfirmasi bahwa data milik 9.720 karyawan dan kontraktor telah terekspos. Informasi yang dicuri meliputi nama lengkap, nomor rekening dan routing bank, nomor Jaminan Sosial, serta identitas perpajakan. Sebagai langkah mitigasi, individu terdampak menerima layanan perlindungan identitas gratis selama 12 bulan melalui IDX dan disarankan untuk mempertimbangkan pembekuan kredit serta pengaturan peringatan penipuan pada laporan kredit mereka.
Pada Juni lalu, Washington Post juga mengumumkan bahwa akun email beberapa jurnalisnya diretas oleh aktor siber negara asing. Meski kedua insiden terjadi berdekatan, hingga saat ini belum ada bukti yang menunjukkan keterkaitan langsung.