Pelanggan sejumlah restoran yang menggunakan platform POS HungerRush melaporkan menerima email dari pelaku ancaman yang mengklaim telah membobol sistem perusahaan dan mengancam akan membocorkan data jika tuntutan tidak dipenuhi.
Dalam email yang dikirim secara massal, pelaku menyatakan bahwa data restoran dan pelanggan—yang diklaim berjumlah jutaan—berada dalam risiko karena perusahaan tidak menanggapi upaya pemerasan mereka Pasted text.
Email Dikirim dari Infrastruktur Resmi
Email pertama dikirim menggunakan alamat support@hungerrush.com dan berisi ancaman bahwa jika HungerRush terus mengabaikan tuntutan, pelaku akan mengambil tindakan berbahaya. Tiga jam kemudian, email kedua dikirim dari alamat berbeda dengan klaim lebih serius, menyebut telah mengakses catatan jutaan pelanggan yang mencakup nama, email, kata sandi, alamat, nomor telepon, tanggal lahir, dan informasi kartu kredit Pasted text.
Analisis header email menunjukkan pesan dikirim melalui layanan Twilio SendGrid—platform yang sebelumnya digunakan HungerRush untuk mengirimkan tanda terima digital restoran. Email tersebut lolos pemeriksaan SPF, DKIM, dan DMARC karena domain perusahaan memang mengotorisasi SendGrid untuk pengiriman pesan Pasted text.
Sejumlah pengguna Reddit juga mengaku menerima email tersebut dan mengaitkannya dengan transaksi sebelumnya di restoran yang memakai sistem HungerRush.
Dugaan Awal dan Klarifikasi Perusahaan
Alon Gal, salah satu pendiri Hudson Rock, sempat menyebut adanya indikasi perangkat karyawan HungerRush terinfeksi infostealer pada Oktober 2025, yang diduga mencuri kredensial berbagai layanan korporat. Namun, HungerRush kemudian menyatakan insiden ini tidak terkait dengan dugaan infeksi tersebut Pasted text.
Dalam pernyataan resmi, HungerRush mengonfirmasi tengah menyelidiki insiden dan telah memberi tahu aparat penegak hukum. Perusahaan menegaskan bahwa pelaku memanfaatkan kredensial vendor pihak ketiga yang telah dikompromikan untuk mengakses akun layanan email marketing mereka Pasted text.
Akses tersebut memungkinkan pelaku memperoleh informasi kontak pelanggan—termasuk nama, alamat email, alamat surat, dan nomor telepon—yang kemudian digunakan untuk mengirim email tidak sah Pasted text.
Namun, HungerRush membantah klaim bahwa data sensitif seperti kata sandi, tanggal lahir, nomor Jaminan Sosial, atau informasi kartu pembayaran terekspos. Perusahaan juga menyatakan bahwa data kartu kredit tidak disimpan dalam sistem mereka Pasted text.
Akses Dibatasi dan Investigasi Berlanjut
Sebagai langkah pencegahan, HungerRush telah menonaktifkan akses ke layanan email yang terdampak untuk mencegah pengiriman pesan tambahan selama investigasi berlangsung Pasted text.
Untuk sementara, pelanggan restoran yang menggunakan sistem HungerRush disarankan meningkatkan kewaspadaan terhadap potensi email phishing atau pesan SMS yang memanfaatkan informasi kontak yang mungkin telah diakses.
Kasus ini kembali menyoroti risiko rantai pasok digital, di mana kompromi pada vendor pihak ketiga dapat berdampak luas terhadap pelanggan dan mitra bisnis.