Grubhub Konfirmasi Kebocoran Data Usai Akses Ilegal ke Sistem Perusahaan

Platform pengantaran makanan Grubhub mengonfirmasi terjadinya insiden keamanan setelah peretas berhasil mengakses sebagian sistem internal perusahaan dan mengunduh data. Sejumlah sumber menyebutkan bahwa insiden ini diikuti dengan upaya pemerasan terhadap perusahaan, meski Grubhub belum memberikan perincian lebih lanjut terkait tuntutan tersebut.

Dalam pernyataan resminya, Grubhub menyatakan telah mengetahui adanya pihak tidak berwenang yang mengunduh data dari sistem tertentu. Perusahaan mengklaim telah segera melakukan investigasi, menghentikan aktivitas berbahaya tersebut, serta mengambil langkah tambahan untuk memperkuat postur keamanan. Grubhub juga menegaskan bahwa informasi sensitif seperti data keuangan maupun riwayat pesanan pelanggan tidak terdampak oleh insiden ini.

Meski demikian, Grubhub menolak menjawab pertanyaan lanjutan, termasuk kapan insiden terjadi, apakah data pelanggan terlibat, atau apakah perusahaan tengah menghadapi pemerasan. Perusahaan hanya mengonfirmasi bahwa mereka bekerja sama dengan firma keamanan siber pihak ketiga dan telah memberi tahu aparat penegak hukum.

Insiden ini muncul tak lama setelah Grubhub dikaitkan dengan gelombang email penipuan yang dikirim dari subdomain resminya pada bulan sebelumnya. Email tersebut mempromosikan skema penipuan kripto dengan janji imbal hasil tinggi. Saat itu, Grubhub menyebut telah mengendalikan masalah dan mencegah pengiriman pesan tidak sah lanjutan, namun tidak memberikan detail tambahan. Hingga kini, belum jelas apakah kedua insiden tersebut saling berkaitan.

Menurut sejumlah sumber, kelompok kejahatan siber ShinyHunters diduga berada di balik upaya pemerasan terhadap Grubhub. Kelompok tersebut disebut menuntut pembayaran Bitcoin untuk mencegah publikasi data lama dari kebocoran Salesforce pada Februari 2025, serta data yang lebih baru dari Zendesk yang dicuri dalam insiden terbaru. Zendesk diketahui digunakan Grubhub untuk mendukung sistem layanan pelanggan, termasuk bantuan pesanan, masalah akun, dan penagihan.

Sumber yang mengetahui investigasi menyebutkan bahwa akses ke sistem Grubhub kemungkinan terjadi melalui kredensial atau rahasia yang dicuri dalam rangkaian serangan sebelumnya yang menargetkan integrasi Salesloft. Pada Agustus 2025, pelaku ancaman dilaporkan menggunakan token OAuth hasil pencurian untuk melancarkan kampanye pencurian data berskala besar, yang kemudian dimanfaatkan untuk serangan lanjutan terhadap platform lain.

Laporan dari tim intelijen ancaman Mandiant milik Google menyebutkan bahwa data yang dicuri dalam kampanye tersebut digunakan untuk memanen kredensial sensitif, termasuk kunci akses layanan cloud, kata sandi, dan token akses ke berbagai sistem perusahaan. Pada periode yang sama, ShinyHunters mengklaim telah mencuri miliaran catatan data dari ratusan perusahaan melalui basis data Salesforce.

Para pakar keamanan menekankan bahwa organisasi yang terdampak rangkaian kebocoran sebelumnya harus segera melakukan rotasi seluruh token akses dan rahasia sistem yang berpotensi terpapar. Tanpa langkah mitigasi cepat, data lama yang telah dicuri dapat terus dimanfaatkan untuk serangan lanjutan, seperti yang kini diduga terjadi pada Grubhub.

Kasus ini kembali menyoroti risiko berantai dari kebocoran kredensial dan pentingnya manajemen akses yang ketat, terutama bagi perusahaan yang mengandalkan banyak layanan pihak ketiga dalam operasional sehari-hari.