Kebocoran Data di Fintech Betterment Paparkan Informasi 1,4 Juta Akun

Betterment mengonfirmasi terjadinya insiden kebocoran data yang berdampak pada sekitar 1,4 juta akun pengguna setelah sistem internal perusahaan diretas pada Januari lalu. Dalam insiden ini, pelaku berhasil mencuri alamat email serta berbagai data pribadi lainnya milik nasabah platform investasi otomatis tersebut.

Betterment dikenal sebagai salah satu pelopor layanan robo-advisory di Amerika Serikat, dengan portofolio layanan yang mencakup investasi otomatis dan konsultasi keuangan. Perusahaan ini mengelola aset senilai sekitar USD 65 miliar untuk lebih dari satu juta pelanggan. Meski tidak secara eksplisit menyebutkan jumlah korban terdampak, analisis dari layanan notifikasi kebocoran data Have I Been Pwned mengungkap bahwa sebanyak 1.435.174 akun terpapar dalam insiden tersebut.

Data yang bocor mencakup alamat email, nama lengkap, serta informasi lokasi geografis pengguna. Dalam sejumlah kasus, informasi sensitif lainnya juga ikut terekspos, termasuk tanggal lahir, alamat fisik, nomor telepon, data perangkat, lokasi geografis perusahaan tempat bekerja, hingga jabatan pekerjaan.

Betterment sebelumnya mengungkap pada 10 Januari bahwa pelaku juga memanfaatkan akses ilegal tersebut untuk mengirimkan email penipuan yang menyamar sebagai promosi resmi perusahaan. Email tersebut mencoba mengelabui pengguna dengan iming-iming hadiah palsu yang mengklaim dapat melipatgandakan aset kripto yang dikirim ke dompet Bitcoin dan Ethereum milik penyerang. Perusahaan menegaskan bahwa penawaran tersebut tidak sah dan meminta pelanggan untuk mengabaikannya.

Dalam pernyataan resminya, Betterment menyebut bahwa akses tidak sah telah dihentikan dan tidak ditemukan indikasi adanya akses langsung ke akun nasabah. Perusahaan juga menegaskan bahwa mengklik notifikasi promosi palsu tersebut tidak mengakibatkan kompromi keamanan akun pengguna.

Tak lama setelah itu, Betterment juga sempat mengalami gangguan layanan situs web dan aplikasi mobile akibat serangan distributed denial-of-service (DDoS). Meski perusahaan mengonfirmasi adanya serangan DDoS, hingga kini belum ada informasi lanjutan terkait dugaan upaya pemerasan yang menyertai serangan tersebut.

Pekan ini, Betterment kembali merilis pernyataan lanjutan hasil investigasi forensik yang dilakukan bersama perusahaan keamanan siber CrowdStrike. Hasil investigasi menyimpulkan bahwa tidak ada akun pelanggan, kata sandi, maupun kredensial login yang berhasil diakses oleh pelaku.

Menurut perusahaan, dampak utama dari insiden ini terbatas pada kebocoran data kontak pelanggan, seperti nama dan alamat email. Dalam sebagian kasus, data tersebut dikombinasikan dengan informasi tambahan seperti alamat fisik, nomor telepon, atau tanggal lahir. Hingga saat ini, pihak Betterment belum memberikan tanggapan tambahan atas pertanyaan lanjutan terkait insiden tersebut.