ShinyHunters Klaim Bobol Odido, Diduga Curi Jutaan Data Pelanggan
Kelompok pemeras siber ShinyHunters mengklaim bertanggung jawab atas kebocoran data di perusahaan telekomunikasi Belanda, Odido, dan menyebut telah mencuri jutaan data pelanggan dari sistem yang disusupi.
Odido merupakan salah satu penyedia layanan telekomunikasi terbesar di Belanda yang menawarkan layanan seluler, broadband, dan televisi kepada jutaan pelanggan di seluruh negeri.
Odido Akui Insiden Sejak 12 Februari
Odido pertama kali mengungkap insiden tersebut pada 12 Februari, menyatakan bahwa pelaku berhasil mengakses sistem kontak pelanggan pada 7 Februari dan mengunduh data pribadi sejumlah besar pengguna.
Perusahaan menegaskan bahwa kata sandi akun Mijn Odido, detail panggilan, data lokasi, informasi penagihan, serta salinan dokumen identitas tidak termasuk dalam data yang terekspos.
Namun, data yang terdampak dapat berbeda pada setiap pelanggan dan mencakup kombinasi dari nama lengkap, alamat dan kota domisili, nomor ponsel, nomor pelanggan, alamat email, IBAN (nomor rekening bank), tanggal lahir, serta sebagian informasi identifikasi seperti nomor dan masa berlaku paspor atau SIM.
Kepada media lokal, Odido menyebut bahwa insiden tersebut berdampak pada sekitar 6,2 juta pelanggan. Perusahaan juga menyatakan bahwa pelaku telah menghubungi mereka dan mengklaim mencuri jutaan data pengguna.
Setelah mendeteksi pelanggaran, Odido melaporkannya kepada Otoritas Perlindungan Data Belanda, memblokir akses pelaku, dan menunjuk pakar keamanan siber eksternal untuk membantu penanganan insiden.
ShinyHunters Klaim 21 Juta Rekaman
Meski Odido belum secara resmi mengaitkan serangan ini dengan kelompok tertentu, ShinyHunters kini menambahkan Odido ke situs kebocoran data mereka di dark web. Kelompok tersebut mengklaim telah mencuri hampir 21 juta rekaman data, termasuk data yang telah diakui Odido sebagai terekspos.
ShinyHunters juga mengklaim bahwa data yang dicuri mencakup informasi korporat internal serta kata sandi dalam bentuk plaintext.
Dalam pesan yang dipublikasikan di situs kebocoran mereka, kelompok tersebut menyebut insiden ini sebagai “peringatan terakhir” dan mendesak Odido untuk kembali bernegosiasi sebelum data dibocorkan secara penuh.
Namun, juru bicara Odido membantah klaim tambahan tersebut dan kembali menegaskan bahwa tidak ada kata sandi, detail panggilan, nomor jaminan sosial, maupun data penagihan yang terlibat dalam insiden ini.
Pola Serangan ShinyHunters
Dalam beberapa pekan terakhir, ShinyHunters mengklaim bertanggung jawab atas sejumlah pelanggaran keamanan lain, termasuk terhadap Panera Bread, Betterment, SoundCloud, Canada Goose, PornHub, serta Match Group—perusahaan yang menaungi platform kencan populer seperti Tinder dan Hinge.
Sebagian korban sebelumnya dilaporkan mengalami kompromi sistem melalui serangan voice phishing (vishing) yang menargetkan akun single sign-on (SSO) pada Google, Microsoft, dan Okta. Dalam modus tersebut, pelaku menyamar sebagai staf dukungan TI dan membujuk karyawan memasukkan kredensial serta kode multi-factor authentication (MFA) ke situs phishing yang menyerupai portal login resmi.
Kelompok ini juga diketahui memanfaatkan teknik device code vishing dengan menyalahgunakan alur otorisasi perangkat OAuth 2.0 untuk memperoleh token autentikasi Microsoft Entra. Setelah mendapatkan kredensial dan token autentikasi, pelaku dapat membajak akun SSO dan mengakses layanan enterprise terhubung seperti Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk, dan Dropbox.
Hingga kini, investigasi terhadap insiden Odido masih berlangsung, dan belum ada konfirmasi resmi mengenai validitas klaim penuh yang disampaikan ShinyHunters.
