Cox Enterprises mengonfirmasi terjadinya pelanggaran data yang berdampak pada ribuan individu setelah para peretas berhasil menembus jaringan perusahaan melalui eksploitasi kerentanan zero-day pada Oracle E-Business Suite. Insiden ini terjadi pada Agustus 2025, namun baru terdeteksi pada akhir September saat perusahaan menemukan aktivitas mencurigakan pada sistem internal.
Dalam pemberitahuan resminya, Cox menjelaskan bahwa aktivitas tidak biasa pada platform Oracle E-Business Suite—yang digunakan untuk operasi bisnis back-office—rupanya berasal dari serangan siber yang memanfaatkan celah keamanan yang belum dipublikasikan sebelumnya. Eksploitasi dilakukan pada periode 9–14 Agustus 2025 sebelum kerentanan tersebut mendapat tambalan resmi dari Oracle.
Cox Enterprises merupakan konglomerat besar Amerika Serikat yang beroperasi dalam sektor telekomunikasi melalui Cox Communications dan layanan otomotif melalui Cox Automotive. Dengan 55.000 karyawan dan pendapatan tahunan mencapai $23 miliar, perusahaan ini memiliki jejak bisnis internasional yang luas.
Meski Cox tidak menyebut sosok pelaku secara spesifik, kelompok ransomware Cl0p mengklaim bertanggung jawab atas serangan tersebut. Mereka mengaku mengeksploitasi CVE-2025-61882 sebagai zero-day, jauh sebelum Oracle merilis perbaikan pada 5 Oktober. Cl0p dikenal agresif dalam memanfaatkan kerentanan zero-day pada perangkat lunak yang digunakan secara luas, termasuk insiden besar seperti MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U FTP, dan Accellion FTA.
Sejumlah organisasi lain juga dilaporkan mengalami pelanggaran terkait kerentanan pada Oracle E-Business Suite, termasuk Logitech, Washington Post, GlobalLogic, Envoy Air, dan Harvard University. Cl0p menambahkan Cox Enterprises ke situs pemerasan mereka pada 27 Oktober dan mempublikasikan data yang dicuri.
Dalam pemberitahuan kepada 9.479 individu terdampak, Cox menyediakan layanan pemantauan kredit dan perlindungan pencurian identitas melalui IDX secara gratis selama 12 bulan. Namun, perusahaan tidak merinci jenis data pribadi apa saja yang terekspos dalam sampel pemberitahuan yang diajukan kepada otoritas.
Insiden ini menambah daftar panjang serangan yang memanfaatkan kerentanan zero-day pada perangkat lunak korporat, sekaligus menyoroti risiko tinggi bagi perusahaan yang mengandalkan solusi operasional kritis tanpa mekanisme deteksi yang memadai.