Peretasan Figure Bocorkan Data Hampir 1 Juta Akun Pengguna
Perusahaan fintech berbasis blockchain, Figure Technology Solutions, dilaporkan mengalami kebocoran data yang berdampak pada hampir satu juta akun pengguna. Informasi pribadi dan data kontak korban disebut telah dicuri dalam serangan yang diduga melibatkan rekayasa sosial terhadap karyawan internal.
Figure, yang berdiri sejak 2018, dikenal sebagai perusahaan fintech yang memanfaatkan blockchain Provenance untuk layanan pinjaman, pembiayaan, dan perdagangan sekuritas. Perusahaan ini mengklaim telah memfasilitasi lebih dari USD 22 miliar pembiayaan ekuitas rumah dengan dukungan lebih dari 250 mitra, termasuk bank, credit union, dan perusahaan fintech.
Hampir 1 Juta Akun Terdampak
Meski tidak mengumumkan insiden ini secara terbuka, juru bicara Figure menyebut bahwa peretas berhasil mengakses “sejumlah file terbatas” melalui skema rekayasa sosial. Dalam serangan tersebut, seorang karyawan diduga ditipu untuk memberikan akses ke sistem internal.
Layanan notifikasi kebocoran data Have I Been Pwned kemudian mengungkap bahwa sebanyak 967.200 akun terdampak dalam insiden ini. Data yang dipublikasikan secara daring pada Februari 2026 tersebut mencakup lebih dari 900 ribu alamat email unik, lengkap dengan nama, nomor telepon, alamat fisik, serta tanggal lahir.
Data yang bocor disebut berasal dari Januari 2026.
ShinyHunters Klaim Tanggung Jawab
Kelompok pemeras data ShinyHunters mengklaim bertanggung jawab atas peretasan ini dan telah menambahkan Figure ke situs kebocoran data mereka di dark web. Sekitar 2,5 GB data disebut telah dipublikasikan, yang diklaim berasal dari ribuan pemohon pinjaman.
Dalam beberapa pekan terakhir, ShinyHunters juga mengklaim serangan terhadap sejumlah perusahaan besar lainnya, termasuk merek ritel dan layanan digital populer. Meski tidak semua insiden diyakini bagian dari satu kampanye yang sama, sebagian korban sebelumnya diketahui menjadi target serangan berbasis voice phishing (vishing).
Pola Serangan Rekayasa Sosial
Dalam kampanye vishing yang teridentifikasi, pelaku menyamar sebagai staf dukungan IT dan menghubungi karyawan perusahaan target. Korban kemudian diarahkan untuk memasukkan kredensial serta kode multi-factor authentication (MFA) ke situs phishing yang meniru portal login resmi perusahaan.
Setelah berhasil memperoleh akses ke akun single sign-on (SSO), pelaku dapat masuk ke berbagai aplikasi dan layanan perusahaan yang terhubung, termasuk platform kolaborasi, email, manajemen pelanggan, hingga sistem enterprise lainnya.
Pendekatan ini menunjukkan bahwa meskipun organisasi telah menerapkan MFA dan sistem keamanan berlapis, celah pada faktor manusia masih menjadi titik lemah yang dapat dieksploitasi.
Investigasi Berlanjut
Figure belum merinci jumlah pasti korban yang telah diberi notifikasi atau langkah mitigasi tambahan yang diambil. Hingga kini, perusahaan masih melakukan peninjauan atas insiden tersebut.
Kasus ini kembali menyoroti risiko tinggi serangan rekayasa sosial terhadap perusahaan fintech yang mengelola data sensitif dalam skala besar, terutama ketika integrasi sistem berbasis SSO menjadi pintu gerbang akses ke berbagai layanan penting.
