PcComponentes Bantah Klaim Kebocoran Data 16 Juta Pelanggan

Peritel teknologi asal Spanyol, PcComponentes, membantah keras klaim kebocoran data yang disebut-sebut berdampak pada 16 juta pelanggan. Meski demikian, perusahaan mengakui bahwa platformnya sempat menjadi target serangan credential stuffing, yaitu upaya masuk menggunakan kombinasi email dan kata sandi yang berasal dari kebocoran layanan lain.

PcComponentes merupakan pemain besar di pasar e-commerce teknologi Spanyol, dengan fokus pada penjualan komputer, laptop, perangkat keras, dan aksesori, serta mencatat sekitar 75 juta pengunjung unik per tahun. Klaim kebocoran data mencuat setelah seorang aktor ancaman dengan nama samaran “daghetiaw” mempublikasikan sampel data pelanggan yang diklaim berasal dari sistem PcComponentes, dengan total 16,3 juta entri. Sebanyak 500.000 data disebut telah dibocorkan, sementara sisanya ditawarkan untuk dijual.

Data yang beredar tersebut diklaim berisi informasi sensitif seperti detail pesanan, alamat fisik, nama lengkap, nomor telepon, alamat IP, daftar keinginan produk, hingga pesan dukungan pelanggan. Namun, setelah melakukan investigasi internal, PcComponentes menyatakan tidak menemukan bukti adanya akses ilegal ke basis data atau sistem internal mereka. Perusahaan juga menegaskan bahwa angka 16 juta pelanggan tidak akurat, karena jumlah akun aktif PcComponentes jauh lebih rendah.

Dalam pernyataannya, PcComponentes menekankan bahwa mereka tidak menyimpan kata sandi pelanggan dalam bentuk terbuka maupun data keuangan di sistemnya. Meski begitu, hasil penyelidikan memang mengonfirmasi adanya aktivitas credential stuffing, di mana penyerang mencoba memanfaatkan kredensial yang bocor dari insiden keamanan lain untuk mengakses akun pengguna PcComponentes.

Analisis dari perusahaan intelijen ancaman menunjukkan bahwa kredensial yang digunakan penyerang kemungkinan berasal dari komputer yang sebelumnya terinfeksi malware pencuri informasi. Sebagian data login yang digunakan bahkan tercatat sudah beredar sejak beberapa tahun lalu, menandakan praktik penggunaan ulang kata sandi oleh pengguna.

PcComponentes menyebut bahwa hanya sebagian kecil akun yang terdampak, dengan jenis data yang terekspos meliputi nama depan dan belakang, nomor identitas nasional, alamat fisik, alamat IP, email, dan nomor telepon. Sebagai langkah mitigasi, perusahaan langsung menerapkan CAPTCHA pada halaman login, mewajibkan aktivasi autentikasi dua faktor (2FA) untuk seluruh akun, serta membatalkan semua sesi login yang masih aktif.

Akibat kebijakan tersebut, seluruh pelanggan akan otomatis keluar dari akun mereka dan diwajibkan mengaktifkan 2FA sebelum dapat masuk kembali. PcComponentes juga mengimbau pengguna untuk menggunakan kata sandi yang kuat dan unik untuk setiap layanan, memanfaatkan pengelola kata sandi, serta meningkatkan kewaspadaan terhadap potensi phishing pascainsiden ini.