Rantai waralaba toko kelontong (convenience store) raksasa global, 7-Eleven, dilaporkan menjadi korban pembobolan data masif yang mengekspos informasi sensitif milik ratusan ribu orang. Layanan pemantau kebocoran data terkemuka, Have I Been Pwned, mengonfirmasi bahwa sindikat pemeras siber ShinyHunters berhasil menyusup ke infrastruktur digital perusahaan tersebut pada awal April dan menguras dokumen internal berukuran raksasa.
Didirikan sejak tahun 1927, 7-Eleven saat ini mengoperasikan, mewaralabakan, serta melisensikan lebih dari 86.000 gerai di seluruh dunia, termasuk jaringan besar seperti Speedway, Stripes, dan program loyalitas pelanggan 7Rewards yang memiliki lebih dari 100 juta anggota aktif.
Kronologi Insiden dan Jalur Penyusupan
Berdasarkan surat pemberitahuan resmi (data breach notification letters) yang dikirimkan 7-Eleven kepada para korbannya, indikasi intrusi pertama kali terdeteksi pada pekan pertama April:
- Akses Sistem Waralaba: Pada 8 April 2026, pihak ketiga yang tidak dikenal berhasil meraih hak akses ilegal ke repositori internal 7-Eleven yang digunakan khusus untuk menyimpan dokumen-dokumen penting para pewaralaba (franchisee documents).
- Eksploitasi Jaringan Salesforce: Meskipun manajemen 7-Eleven bersikap konservatif dan enggan mengungkap identitas pelaku, kelompok ShinyHunters secara terbuka mengklaim tanggung jawab atas serangan tersebut pada 17 April. Kelompok ini mengaku berhasil menjebol benteng pertahanan lingkungan Salesforce milik 7-Eleven.
- Kebocoran Data di Dark Web: Akibat penolakan pihak 7-Eleven untuk membayar uang tebusan (ransom), peretas melancarkan aksi balas dendam dengan mengunggah arsip dokumen mentah sebesar 9,4 GB berisi lebih dari 600.000 rekaman data ke situs kebocoran (leak site) mereka di jaringan internet gelap (dark web).
Jenis Data yang Bocor Berdasarkan Analisis Forensik
Hasil pemindaian dan verifikasi independen yang dilakukan oleh Have I Been Pwned terhadap file yang dibocorkan oleh ShinyHunters menunjukkan bahwa insiden ini secara akurat berdampak pada 185.300 alamat email unik.
Himpunan data yang terekspos ke publik meliputi kombinasi identitas sensitif (PII) sebagai berikut:
- Nama lengkap pengguna dan rekanan waralaba.
- Tanggal lahir.
- Alamat email unik dan nomor telepon aktif.
- Alamat fisik/tempat tinggal domisili.
- Sebagian kecil rekaman juga kedapatan memuat kolom data korporat tambahan terkait dokumen legal kemitraan toko.
Pihak otoritas keamanan menilai jenis data yang bocor ini sangat konsisten dengan pernyataan 7-Eleven yang menyebut pembobolan hanya terbatas pada server pengelolaan dokumen administratif kemitraan waralaba.
Sepak Terjang Agresif ShinyHunters di Tahun 2026
Sindikat ShinyHunters tercatat kian agresif melancarkan kampanye pencurian data berskala global sepanjang tahun ini. Mereka secara khusus membidik korporasi yang mengandalkan platform manajemen awan pihak ketiga melalui operasi peretasan bertajuk Salesforce Aura data theft attacks dan kampanye Salesloft Drift.
Daftar korban kompromi yang diklaim oleh ShinyHunters dalam beberapa waktu terakhir mencakup portofolio entitas lintas sektor yang sangat luas, di antaranya:
- Lembaga Pemerintahan: Komisi Eropa (European Commission).
- Raksasa Teknologi: Cisco dan Google.
- Sektor Ritel & Hiburan: Jaringan fast-fashion Spanyol (Zara dan MANGO), Rockstar Games, serta platform video Vimeo.
- Sektor Kesehatan & Keamanan: Medtronic dan ADT.
Menanggapi eskalasi ini, Biro Investigasi Federal AS (FBI) dua minggu lalu telah mengeluarkan memo tegas kepada seluruh perusahaan yang menjadi korban ShinyHunters agar tidak menuruti tuntutan tebusan. FBI memperingatkan bahwa pembayaran uang tebusan sama sekali tidak memberikan jaminan bahwa peretas akan menghancurkan data tersebut, melainkan sering kali data tetap dijual ke penjahat siber lain atau dijadikan modal untuk memeras korban kembali di kemudian hari.