Canada Goose Selidiki Kebocoran 600 Ribu Data Pelanggan yang Diklaim Dicuri ShinyHunters

Merek fesyen mewah asal Kanada, Canada Goose, tengah menyelidiki klaim kebocoran lebih dari 600.000 data pelanggan yang dipublikasikan oleh kelompok peretas ShinyHunters. Grup tersebut mengklaim telah mencuri arsip berisi informasi pribadi dan sebagian data terkait pembayaran pelanggan.

Namun, pihak Canada Goose menyatakan sejauh ini tidak menemukan indikasi adanya pelanggaran pada sistem internal mereka.

Perusahaan Klaim Tidak Ada Bukti Peretasan Internal

Canada Goose mengonfirmasi bahwa mereka mengetahui adanya publikasi dataset historis yang dikaitkan dengan transaksi pelanggan di masa lalu. Meski demikian, hasil peninjauan awal perusahaan tidak menunjukkan adanya bukti bahwa sistem internal mereka telah diretas.

Perusahaan juga menegaskan tidak ditemukan keterlibatan data keuangan yang tidak terlindungi. Canada Goose saat ini masih meninjau dataset yang beredar untuk memastikan keakuratan serta cakupan data tersebut, dan akan mengambil langkah lanjutan jika diperlukan.

Didirikan pada 1957 dan berbasis di Toronto, Canada Goose merupakan brand outerwear premium dengan jaringan ritel global dan hampir 4.000 karyawan di seluruh dunia.

Dataset 1,67 GB Berisi Detail Transaksi E-Commerce

ShinyHunters menambahkan nama Canada Goose ke situs kebocoran data mereka pekan ini, dengan klaim arsip berukuran sekitar 1,67 GB tersebut memuat lebih dari 600.000 catatan pelanggan.

Berdasarkan sampel yang ditinjau oleh media keamanan siber, dataset dalam format JSON tersebut berisi detail transaksi e-commerce, termasuk nama pelanggan, alamat email, nomor telepon, alamat penagihan dan pengiriman, alamat IP, hingga riwayat pesanan.

Data juga mencakup sebagian informasi kartu pembayaran, seperti merek kartu, empat digit terakhir nomor kartu, serta dalam beberapa kasus enam digit awal (BIN). Selain itu, terdapat metadata otorisasi pembayaran.

Meski tidak ditemukan nomor kartu lengkap, kombinasi informasi yang tersedia tetap berpotensi dimanfaatkan untuk serangan phishing terarah, rekayasa sosial, maupun penipuan finansial. Dataset tersebut juga memuat riwayat pembelian, informasi perangkat dan browser, serta nilai transaksi, yang dapat digunakan untuk memprofilkan pelanggan bernilai tinggi.

Klaim Berasal dari Pihak Ketiga

ShinyHunters dalam pernyataannya menyebut dataset tersebut tidak terkait dengan gelombang serangan social engineering dan kompromi akun single sign-on (SSO) yang belakangan dikaitkan dengan grup tersebut.

Mereka mengklaim data berasal dari kebocoran pada pemroses pembayaran pihak ketiga dan terjadi sejak Agustus 2025. Hingga kini, klaim tersebut belum dapat diverifikasi secara independen.

Struktur skema data yang beredar, termasuk nama-nama field seperti checkout_id, shipping_lines, cart_token, dan cancel_reason, menyerupai ekspor checkout dari platform toko daring dan layanan pemrosesan pembayaran terhosting. Hal ini memperkuat kemungkinan bahwa sumber data berasal dari penyedia layanan eksternal.

Profil ShinyHunters

ShinyHunters dikenal sebagai kelompok pemerasan data yang aktif mencuri dan membocorkan informasi pelanggan dari berbagai merek besar dan layanan daring. Grup ini telah dikaitkan dengan sejumlah insiden kebocoran data berskala besar dalam beberapa tahun terakhir, khususnya yang menargetkan platform e-commerce, layanan SaaS, serta lingkungan cloud.

Dalam beberapa laporan terbaru, peneliti keamanan siber juga menghubungkan ShinyHunters dengan kampanye vishing dan social engineering yang bertujuan mendapatkan akses ke akun perusahaan dan data cloud.

Data yang dicuri biasanya digunakan untuk pemerasan, dijual di forum bawah tanah, atau dipublikasikan di situs kebocoran jika korban menolak membayar tebusan.

Hingga saat ini belum diketahui berapa jumlah pelanggan Canada Goose yang terdampak secara langsung maupun apakah perusahaan akan mengirimkan notifikasi resmi kepada individu terkait. Canada Goose menyatakan proses peninjauan dataset masih berlangsung guna menentukan skala dan validitas informasi yang beredar.