Endesa Umumkan Kebocoran Data, Informasi Pelanggan Terdampak Akses Tidak Sah
Perusahaan energi terbesar di Spanyol, Endesa, mengungkap insiden kebocoran data yang berdampak pada pelanggan setelah peretas berhasil mengakses sistem internal perusahaan. Operator ritel energi milik Endesa, Energía XXI, juga telah memberi tahu para pelanggan yang terdampak mengenai insiden tersebut.
Endesa—yang kini dimiliki oleh Enel Group—mendistribusikan listrik dan gas kepada lebih dari 10 juta pelanggan di Spanyol dan Portugal, dengan total basis klien sekitar 22 juta. Dalam pengungkapan resminya, perusahaan menyatakan telah mendeteksi akses tidak sah ke platform komersialnya, yang memungkinkan pihak luar melihat informasi terkait kontrak pelanggan.
Perusahaan menegaskan bahwa, meskipun berbagai langkah pengamanan telah diterapkan, terdapat bukti akses ilegal terhadap sebagian data pribadi pelanggan yang berkaitan dengan kontrak energi. Berdasarkan hasil investigasi sementara, jenis data yang dapat diakses mencakup informasi identitas dasar, detail kontak, nomor identitas nasional (DNI), rincian kontrak, serta informasi pembayaran termasuk nomor rekening IBAN. Endesa dan Energía XXI sama-sama menekankan bahwa kata sandi akun pelanggan tidak terdampak dalam insiden ini.
Sebagai respons awal, Endesa segera memblokir akun internal yang terkompromi, mengamankan serta menganalisis log sistem, dan meningkatkan pemantauan untuk mendeteksi aktivitas mencurigakan lanjutan. Perusahaan juga telah memulai proses pemberitahuan kepada seluruh pelanggan yang berpotensi terdampak dan melaporkan insiden ini kepada Spanish Data Protection Agency serta otoritas terkait lainnya.
Endesa menyatakan bahwa hingga saat komunikasi ini disampaikan, belum ditemukan bukti penyalahgunaan data secara fraud. Oleh karena itu, perusahaan menilai kecil kemungkinan terjadinya dampak berisiko tinggi terhadap hak dan kebebasan pelanggan. Meski demikian, pelanggan tetap diminta waspada terhadap potensi peniruan identitas, pencurian data, dan serangan phishing, serta segera melaporkan aktivitas mencurigakan melalui saluran resmi yang disediakan.
Di sisi lain, pelaku ancaman siber dilaporkan mempublikasikan contoh data yang diklaim berasal dari Endesa dan menawarkan penjualan dataset tersebut secara eksklusif. Pelaku mengklaim memiliki basis data SQL berukuran sekitar 1 TB yang berisi informasi pelanggan Endesa. Detail yang dipaparkan oleh penjual disebut selaras dengan kategori data yang diakui Endesa telah diakses. Pihak perusahaan menyatakan hanya dapat mengulang pernyataan resmi sembari penyelidikan masih berlangsung.
Energía XXI menambahkan bahwa insiden ini tidak memengaruhi operasional maupun layanan, sehingga pelanggan dapat tetap menggunakan layanan seperti biasa. Perusahaan berkomitmen untuk memberikan pembaruan langsung kepada pelanggan jika investigasi lanjutan menemukan fakta tambahan terkait insiden keamanan tersebut.
