Starbucks Ungkap Kebocoran Data yang Berdampak pada Ratusan Karyawan
Perusahaan jaringan kedai kopi global Starbucks mengungkap insiden kebocoran data yang memengaruhi ratusan karyawannya setelah pelaku ancaman berhasil mengakses akun internal Starbucks Partner Central.
Starbucks menemukan aktivitas tidak sah tersebut pada 6 Februari 2026, setelah mendeteksi adanya potensi akses ilegal terhadap sejumlah akun sistem internal yang digunakan karyawan untuk mengelola informasi pekerjaan.
Hampir 900 Akun Karyawan Terdampak
Berdasarkan hasil investigasi yang dilakukan bersama pakar keamanan siber eksternal, diketahui bahwa 889 akun Starbucks Partner Central berhasil disusupi oleh pihak tidak berwenang.
Platform Partner Central merupakan portal internal yang digunakan untuk mengelola berbagai informasi penting terkait karyawan, termasuk data pribadi, informasi pekerjaan, tunjangan, dan data sumber daya manusia.
Investigasi menunjukkan bahwa pelaku memiliki akses ke akun-akun tersebut dalam periode 19 Januari hingga 11 Februari 2026.
Namun perusahaan tidak menjelaskan secara rinci alasan mengapa butuh waktu beberapa hari setelah penemuan awal sebelum akses pelaku sepenuhnya dihentikan.
Serangan Berawal dari Situs Palsu
Menurut penjelasan Starbucks, para pelaku berhasil memperoleh kredensial login karyawan melalui situs web palsu yang meniru portal Partner Central.
Melalui metode tersebut, karyawan secara tidak sadar memasukkan informasi login mereka ke dalam situs tiruan, sehingga memungkinkan penyerang mengambil alih akun yang digunakan untuk mengakses sistem internal perusahaan.
Pendekatan seperti ini merupakan teknik phishing yang sering digunakan dalam serangan siber untuk mencuri kredensial pengguna.
Data Sensitif Ikut Terpapar
Dalam insiden ini, sejumlah data sensitif milik karyawan diketahui ikut terpapar. Informasi yang terdampak antara lain:
- Nama lengkap karyawan
- Nomor Social Security
- Tanggal lahir
- Nomor rekening bank dan nomor routing
Data-data tersebut berpotensi dimanfaatkan untuk berbagai bentuk kejahatan digital, termasuk penipuan finansial dan pencurian identitas.
Starbucks Ambil Langkah Pengamanan
Setelah mengidentifikasi insiden tersebut, Starbucks segera melakukan serangkaian langkah penanganan, termasuk memperkuat kontrol keamanan pada sistem akses Partner Central.
Perusahaan juga telah melaporkan kejadian ini kepada aparat penegak hukum.
Sebagai langkah perlindungan tambahan, Starbucks menyediakan layanan perlindungan pencurian identitas dan pemantauan kredit gratis selama dua tahun bagi karyawan yang terdampak melalui layanan Experian IdentityWorks.
Selain itu, karyawan juga disarankan untuk memantau aktivitas rekening bank mereka guna mendeteksi kemungkinan transaksi mencurigakan.
Tidak Berdampak pada Data Pelanggan
Dalam pernyataan terpisah, perwakilan Starbucks menegaskan bahwa insiden ini hanya berdampak pada sejumlah akun karyawan dan tidak memengaruhi data pelanggan.
Perusahaan menyebutkan bahwa sebagian kecil karyawan ritel sebelumnya tanpa sengaja berinteraksi dengan situs yang meniru portal internal karyawan, sehingga memungkinkan pihak tidak berwenang memperoleh akses ke akun mereka.
Masalah tersebut telah ditangani dan operasional perusahaan kini kembali berjalan normal.
Insiden Keamanan Sebelumnya
Ini bukan pertama kalinya Starbucks menghadapi insiden terkait keamanan data.
Pada tahun 2022, divisi Starbucks di Singapura juga pernah mengonfirmasi kebocoran data yang memengaruhi lebih dari 219.000 pelanggan setelah sistem milik vendor pihak ketiga yang menyimpan data pelanggan berhasil disusupi.
Selain itu, perusahaan juga terdampak secara tidak langsung oleh serangan ransomware Termite pada tahun 2024 yang menargetkan Blue Yonder, penyedia perangkat lunak rantai pasokan yang digunakan Starbucks.
