Askul Konfirmasi Pencurian 740 Ribu Data Pelanggan dalam Serangan Ransomware

Perusahaan e-commerce besar asal Jepang, Askul Corporation, mengonfirmasi bahwa sekitar 740.000 data pelanggan dicuri dalam serangan ransomware yang terjadi pada Oktober lalu. Serangan tersebut diklaim dilakukan oleh kelompok pemerasan siber RansomHouse, yang dikenal mengombinasikan pencurian data dan enkripsi sistem.

Askul merupakan perusahaan e-commerce penyedia perlengkapan kantor dan layanan logistik yang melayani segmen bisnis dan konsumen, serta berada di bawah kepemilikan Yahoo! Japan Corporation. Insiden ransomware ini sempat menyebabkan kegagalan sistem TI yang memaksa Askul menghentikan pengiriman pesanan, termasuk ke mitra ritel besar seperti Muji.

Jenis Data yang Terdampak

Setelah menyelesaikan investigasi terkait cakupan dan dampak insiden, Askul mengungkapkan bahwa beberapa kategori data telah terkompromi. Data tersebut mencakup informasi pelanggan bisnis, pelanggan individu, mitra usaha, hingga data internal perusahaan.

Rincian data yang terdampak meliputi:

• data layanan pelanggan bisnis sekitar 590.000 catatan
• data layanan pelanggan individu sekitar 132.000 catatan
• data mitra bisnis termasuk outsourcer, agen, dan pemasok sekitar 15.000 catatan
• data eksekutif dan karyawan termasuk perusahaan grup sekitar 2.700 catatan

Askul menyatakan bahwa detail teknis tertentu sengaja tidak dipublikasikan untuk mencegah penyalahgunaan lebih lanjut. Perusahaan juga memastikan bahwa pelanggan dan mitra yang terdampak akan diberi pemberitahuan secara individual.

Selain itu, Askul telah melaporkan insiden ini kepada Komisi Perlindungan Informasi Pribadi Jepang dan menerapkan pemantauan jangka panjang guna mencegah penyalahgunaan data yang dicuri.

Operasional Masih Terdampak

Hingga pertengahan Desember, proses pengiriman pesanan masih mengalami gangguan. Askul menyebutkan bahwa pemulihan sistem secara menyeluruh masih berlangsung dan membutuhkan waktu tambahan.

Kronologi Serangan RansomHouse

Kelompok RansomHouse pertama kali mengungkap serangan terhadap Askul pada 30 Oktober, kemudian merilis dua gelombang kebocoran data lanjutan pada 10 November dan 2 Desember. Dalam laporannya, Askul menjelaskan bahwa pelaku diduga memanfaatkan kredensial autentikasi milik administrator dari mitra outsourcing yang tidak dilindungi multi-factor authentication (MFA).

Setelah berhasil masuk ke jaringan, penyerang melakukan pemetaan sistem, mengumpulkan informasi autentikasi tambahan, menonaktifkan perangkat lunak keamanan seperti EDR, serta berpindah antar server untuk meningkatkan hak akses. Askul juga mengungkapkan bahwa beberapa varian ransomware digunakan secara bersamaan, termasuk varian yang mampu menghindari tanda tangan EDR yang telah diperbarui saat itu.

Payload ransomware dilaporkan dijalankan secara serentak di banyak server, sementara file cadangan dihapus untuk menghambat proses pemulihan. Sebagai respons, Askul memutus jaringan yang terinfeksi secara fisik, menghentikan komunikasi antar pusat data dan pusat logistik, mengisolasi perangkat terdampak, serta memperbarui sistem keamanan.

Langkah tambahan yang diambil mencakup penerapan MFA di seluruh sistem utama dan penggantian kata sandi untuk semua akun administrator.

Dampak Finansial Masih Dievaluasi

Hingga kini, Askul belum mengungkap estimasi kerugian finansial akibat serangan tersebut. Perusahaan juga menunda laporan keuangan yang dijadwalkan sebelumnya untuk memberikan waktu tambahan dalam melakukan penilaian dampak secara menyeluruh.