Peretas Klaim Bocorkan Basis Data WIRED Berisi 2,3 Juta Data Pelanggan

Sebuah insiden keamanan siber kembali mengguncang industri media global. Seorang peretas mengklaim telah membobol sistem milik Condé Nast dan membocorkan basis data pelanggan WIRED yang berisi lebih dari 2,3 juta catatan. Tidak hanya itu, pelaku juga mengancam akan merilis hingga 40 juta data tambahan dari berbagai properti media lain di bawah naungan Condé Nast.

Klaim tersebut pertama kali muncul pada 20 Desember, ketika aktor ancaman yang menggunakan nama samaran “Lovely” mempublikasikan basis data tersebut di sebuah forum peretasan. Akses ke data ditawarkan dengan harga sangat rendah melalui sistem kredit forum. Dalam unggahannya, Lovely menuduh Condé Nast mengabaikan laporan kerentanan dan tidak serius dalam melindungi keamanan data pengguna.

Pelaku menyatakan bahwa dibutuhkan waktu sekitar satu bulan untuk meyakinkan pihak terkait agar menambal celah keamanan di situs mereka. Karena tidak mendapatkan respons yang dianggap memadai, Lovely mengancam akan membocorkan lebih banyak data pengguna dalam beberapa minggu ke depan.

Setelah unggahan awal, data yang sama juga disebarkan di forum peretasan lain. Pengguna forum diwajibkan menukarkan kredit untuk mendapatkan kata sandi arsip yang berisi data bocor tersebut. Selain WIRED, Lovely turut membagikan jumlah data yang diklaim berasal dari berbagai media Condé Nast lainnya, termasuk The New Yorker, Vogue, Vanity Fair, hingga Condé Nast Traveler.

Hingga saat ini, Condé Nast belum mengonfirmasi secara resmi adanya pelanggaran sistem. Namun, analisis independen terhadap basis data yang bocor menunjukkan indikasi kuat bahwa data tersebut autentik. Sejumlah catatan berhasil diverifikasi sebagai milik pelanggan WIRED yang sah.

Basis data tersebut dilaporkan berisi 2.366.576 catatan dengan 2.366.574 alamat email unik. Rentang waktu data sangat panjang, mulai dari April 1996 hingga September 2025. Setiap entri memuat ID internal pelanggan, alamat email, serta sejumlah data opsional seperti nama, nomor telepon, alamat fisik, jenis kelamin, dan tanggal lahir. Sebagian besar kolom tambahan ini memang kosong, namun sebagian lainnya berisi informasi pribadi yang cukup sensitif.

Selain itu, data juga mencakup informasi teknis akun, seperti waktu pembuatan dan pembaruan akun, riwayat sesi terakhir, serta detail khusus akun WIRED, termasuk nama pengguna tampilan dan tanggal pembuatan akun di platform tersebut.

Dari keseluruhan data, sekitar 12 persen catatan memuat nama lengkap, lebih dari 8 persen menyertakan alamat fisik, hampir 3 persen mencantumkan tanggal lahir, dan sekitar 1,3 persen berisi nomor telepon. Sebagian kecil lainnya bahkan memiliki profil yang relatif lengkap, mencakup nama, alamat, nomor telepon, tanggal lahir, dan jenis kelamin.

Keaslian data juga diperkuat oleh verifikasi tambahan menggunakan log infostealer yang berisi kredensial hasil kompromi sebelumnya. Pencocokan antara kredensial tersebut dan data bocor menunjukkan kesesuaian yang signifikan, tanpa perlu interaksi langsung dengan pihak Condé Nast.

Sebagai langkah mitigasi, basis data bocor ini telah dimasukkan ke dalam layanan pemantauan kebocoran data publik, memungkinkan pengguna untuk memeriksa apakah alamat email mereka terdampak insiden tersebut.

Menariknya, sebelum kebocoran terjadi, Lovely sempat mengklaim dirinya sebagai peneliti keamanan dan berupaya melakukan pengungkapan kerentanan secara bertanggung jawab. Ia bahkan meminta bantuan pihak ketiga untuk menghubungi tim keamanan Condé Nast terkait celah yang memungkinkan akses dan modifikasi akun pengguna. Namun, setelah tidak mendapatkan respons, pelaku mengaku mengunduh seluruh basis data dan mengancam akan membocorkannya.

Pihak yang sempat dihubungi pelaku kemudian menyimpulkan bahwa insiden ini bukanlah upaya pengungkapan bertanggung jawab, melainkan aksi pencurian dan penyebaran data secara sengaja. Hingga berita ini diturunkan, Condé Nast belum memberikan pernyataan resmi terkait klaim kebocoran tersebut.