Layanan notifikasi kebocoran data Have I Been Pwned mengklarifikasi bahwa insiden kebocoran data yang menimpa jaringan restoran asal Amerika Serikat, Panera Bread, berdampak pada sekitar 5,1 juta akun pengguna. Angka ini lebih rendah dibanding laporan awal yang menyebutkan hingga 14 juta pelanggan terdampak.
Panera Bread, yang didirikan pada 1987, mengoperasikan hampir 2.300 gerai bakery-café di 48 negara bagian Amerika Serikat serta Ontario, Kanada, dengan merek Panera Bread dan Saint Louis Bread Co. Insiden kebocoran data ini menjadi perhatian luas setelah kelompok pemeras siber ShinyHunters mengklaim telah mencuri data pelanggan dalam jumlah besar.
Klarifikasi Jumlah Data yang Terdampak
Klarifikasi dari Have I Been Pwned muncul setelah ShinyHunters menyatakan pada akhir Januari bahwa mereka mencuri data pribadi dan informasi kontak lebih dari 14 juta akun pengguna Panera Bread. Kelompok tersebut kemudian mempublikasikan arsip data berukuran hampir 760 MB di situs kebocoran mereka di dark web, setelah upaya pemerasan dilaporkan gagal.
Namun, analisis lebih lanjut menunjukkan bahwa angka 14 juta tersebut merujuk pada jumlah total catatan data yang dicuri, bukan jumlah individu unik. Berdasarkan perhitungan, data tersebut mencakup sekitar 5,12 juta alamat email unik beserta informasi akun terkait, seperti nama, nomor telepon, dan alamat fisik. Satu individu dimungkinkan memiliki lebih dari satu akun, sehingga jumlah pelanggan terdampak bisa lebih rendah dari jumlah akun.
Selain data pelanggan, ditemukan pula lebih dari 26.000 alamat email internal dengan domain panerabread.com, yang diduga milik karyawan Panera Bread dan turut terekspos dalam insiden ini.
Modus Serangan dan Keterkaitan Kampanye Vishing
ShinyHunters mengklaim berhasil mengakses sistem Panera Bread melalui celah pada sistem single sign-on berbasis Microsoft Entra. Serangan ini disebut sebagai bagian dari kampanye voice phishing atau vishing yang menargetkan akun SSO milik berbagai organisasi besar, termasuk yang menggunakan layanan Okta, Microsoft, dan Google.
Kelompok yang sama juga dikaitkan dengan serangkaian serangan terhadap perusahaan besar lainnya. Dalam rangkaian kampanye ini, ShinyHunters dilaporkan berhasil menembus sistem beberapa platform ternama dan mencuri data pengguna dalam jumlah signifikan.
Respons Panera Bread dan Otoritas
Hingga saat ini, Panera Bread belum merilis pernyataan publik resmi atau mengajukan pemberitahuan kebocoran data secara terbuka kepada pengguna. Meski demikian, perusahaan telah mengonfirmasi adanya insiden tersebut kepada pihak berwenang dan menyatakan bahwa data yang terlibat berupa informasi kontak.
Pihak Panera Bread juga memiliki riwayat insiden keamanan sebelumnya. Pada Juni 2024, perusahaan memberi tahu karyawannya mengenai kebocoran data akibat serangan ransomware yang terjadi pada Maret 2024, yang sempat memicu gangguan sistem berskala nasional.
Kasus ini kembali menegaskan pentingnya perlindungan sistem identitas digital dan keamanan single sign-on, terutama di tengah meningkatnya serangan berbasis rekayasa sosial yang menargetkan organisasi berskala besar.