Menyusul konfirmasi peretasan sebelumnya, layanan notifikasi kebocoran data terkemuka Have I Been Pwned (HIBP) kini melaporkan bahwa kelompok pemerasan ShinyHunters telah mencuri informasi pribadi milik 5,5 juta individu. Data raksasa ini diperoleh setelah peretas sukses membobol sistem perusahaan keamanan rumah asal AS, ADT, pada awal bulan ini.
ADT sendiri merupakan perusahaan keamanan rumah tertua dan terbesar di Amerika Serikat (didirikan pada tahun 1874). Saat ini, mereka menyediakan solusi keamanan terpantau dan rumah pintar (smart home) kepada lebih dari 6 juta pelanggan perumahan dan bisnis kecil. Sayangnya, rekam jejak keamanan data mereka belakangan ini mendapat sorotan tajam, mengingat ADT juga pernah mengungkapkan dua kebocoran data lainnya pada Agustus dan Oktober 2024.
Gagal Peras ADT, Data 11 GB Berakhir di Dark Web
Laporan dari HIBP ini muncul setelah ShinyHunters pada pekan lalu dengan sesumbar mengklaim bahwa mereka telah mencuri lebih dari 10 juta catatan yang berisi Informasi Identifikasi Pribadi (PII) pelanggan dan data internal korporat ADT.
Karena upaya pemerasan terhadap ADT gagal membuahkan hasil (perusahaan menolak membayar tebusan), kelompok kejahatan siber tersebut akhirnya membocorkan arsip data curian sebesar 11 GB di situs kebocoran data mereka di dark web.
Meskipun ADT belum mengungkapkan secara terbuka total jumlah individu yang terdampak, analisis mendalam HIBP terhadap data yang bocor tersebut memastikan bahwa peretasan ini mengekspos data 5,5 juta orang. Detail informasi yang bocor meliputi:
- Alamat email unik
- Nama lengkap
- Tanggal lahir
- Nomor telepon
- Alamat fisik
- Sebagian nomor identitas yang dikeluarkan pemerintah (seperti 4 digit terakhir SSN/ID Pajak).
Klarifikasi ADT dan Vektor Serangan
Saat dikonfirmasi, pihak ADT menyatakan bahwa mereka telah mendeteksi pelanggaran tersebut pada 20 April 2026. Penyelidikan lanjutan mereka mengklaim bahwa intrusi tersebut “terbatas” meskipun memang memungkinkan penyerang untuk mengakses beberapa informasi pribadi individu.
“Secara krusial, tidak ada informasi pembayaran—termasuk rekening bank atau kartu kredit—yang diakses, dan sistem keamanan pelanggan sama sekali tidak terpengaruh atau disusupi dengan cara apa pun,” tegas perwakilan ADT.
Seperti yang dilaporkan sebelumnya, ShinyHunters membobol ADT melalui serangan voice phishing (vishing) yang sangat meyakinkan. Mereka berhasil menipu karyawan untuk memberikan akses ke akun masuk tunggal (SSO) Okta miliknya. Dengan menggunakan akun karyawan ini, para penyerang mendapatkan akses dan mengeksfiltrasi data langsung dari instans Salesforce milik perusahaan.
Teror ShinyHunters Terus Berlanjut
Taktik ini rupanya adalah spesialisasi baru ShinyHunters. Sejak tahun lalu, mereka telah berada di balik kampanye vishing berskala luas yang menargetkan akun Microsoft Entra, Okta, dan Google SSO milik karyawan korporat dan agen alih daya (BPO). Setelah masuk, mereka menyedot data dari aplikasi SaaS yang terhubung seperti Salesforce, Microsoft 365, Slack, Zendesk, hingga Dropbox.
Dalam beberapa minggu terakhir saja, daftar korban kelompok pemerasan ini terus bertambah panjang. Selain ADT dan Medtronic (raksasa medis yang diklaim kehilangan 9 juta data), ShinyHunters juga mengklaim telah membobol Komisi Eropa, Rockstar Games, raksasa edtech McGraw Hill, jaringan minimarket 7-Eleven, operator kapal pesiar Carnival, peritel fesyen cepat Zara, dan perusahaan pelatihan online Udemy.