Pax8 Akui Salah Kirim Email yang Paparkan Data 1.800 Mitra MSP

Pax8, perusahaan marketplace dan distributor cloud global, mengonfirmasi bahwa pihaknya secara tidak sengaja membagikan data internal milik sekitar 1.800 mitra Managed Service Provider (MSP). Insiden ini terjadi akibat kesalahan pengiriman email yang berisi lampiran spreadsheet sensitif kepada sejumlah kecil mitra di Inggris.

Pax8 merupakan pemain besar di ekosistem cloud dengan lebih dari 47.000 mitra di seluruh dunia, beroperasi di 18 negara, serta mencatatkan pendapatan tahunan di atas US$2 miliar, dengan pertumbuhan yang sangat kuat di kawasan Eropa.

Spreadsheet Berisi Data Pelanggan dan Lisensi Microsoft

Insiden bermula pada 13 Januari 2026, ketika seorang strategic account manager Pax8 wilayah EMEA mengirimkan email berjudul “Potential Business Premium Upgrade Tactic to Save Money”. Email tersebut menyertakan lampiran CSV yang ternyata berisi data bisnis internal.

Menurut konfirmasi resmi Pax8, file tersebut mempengaruhi sekitar 1.800 mitra, mayoritas berbasis di Inggris dan satu mitra di Kanada. Namun, email itu sendiri hanya terkirim ke kurang dari 40 penerima di Inggris.

Beberapa MSP penerima email menyebutkan bahwa spreadsheet tersebut memuat informasi sensitif terkait pelanggan dan lisensi Microsoft, termasuk:

• Nama organisasi pelanggan
• SKU produk Microsoft
• Jumlah lisensi aktif
• Tanggal perpanjangan kontrak New Commerce Experience (NCE)

Berdasarkan artefak yang diterima, spreadsheet tersebut berisi lebih dari 56.000 entri, dengan kolom data yang cukup detail, seperti identitas mitra dan pelanggan, jenis produk, nilai transaksi, wilayah, pemilik akun, tanggal provisioning, hingga tanggal berakhirnya masa komitmen lisensi.

Upaya Penarikan dan Tindak Lanjut Pax8

Tak lama setelah email terkirim, pengirim mencoba menarik kembali pesan tersebut, lalu mengirimkan email lanjutan yang meminta para penerima untuk menghapus email dan lampiran, serta memastikan data tersebut tidak diteruskan ke pihak lain.

Dalam pemberitahuan resminya kepada mitra, Pax8 menyatakan bahwa file tersebut tidak berisi data pribadi (PII), namun tetap mengandung informasi bisnis internal, termasuk detail harga MSP dan pengelolaan program Microsoft. Informasi semacam ini pada kondisi normal hanya dapat diakses oleh MSP terkait dan Pax8 sendiri.

Pax8 juga menyebutkan bahwa:

• Seluruh penerima dihubungi secara langsung untuk memastikan penghapusan data
• Konfirmasi penghapusan diminta dari masing-masing penerima
• Tindak lanjut satu per satu dilakukan untuk memastikan kepatuhan
• Investigasi internal diluncurkan guna mencegah insiden serupa terulang

Perusahaan menegaskan bahwa tidak ada dampak terhadap keamanan platform marketplace maupun kontrol sistem akibat kejadian ini.

Data Diincar Pelaku Kejahatan Siber

Meski insiden ini diklaim terbatas, sumber industri mengungkap bahwa aktor ancaman siber mulai mendekati beberapa MSP terdampak, menawarkan untuk membeli salinan dataset yang bocor.

Informasi tersebut dinilai bernilai tinggi. Bagi pesaing bisnis, data ini dapat mengungkap portofolio pelanggan, skala penggunaan produk Microsoft, serta jadwal perpanjangan kontrak, yang berpotensi dimanfaatkan untuk strategi pengambilalihan klien. Sementara bagi pelaku kejahatan siber, dataset ini dapat menjadi daftar target berkualitas tinggi untuk phishing, business email compromise, hingga upaya pemerasan yang disesuaikan dengan siklus kontrak dan lisensi.

Pax8 akhirnya mengonfirmasi insiden ini secara resmi, dengan pernyataan yang selaras dengan pemberitahuan internal kepada mitra. Hingga kini, investigasi internal masih berlangsung untuk memastikan tidak ada penyalahgunaan lanjutan atas data yang sempat terekspos.