Kebocoran Data Raksasa Telko KDDI Jepang Potensi Ekspos 14,2 Juta Data Login Email di Enam ISP

Operator telekomunikasi raksasa asal Jepang, KDDI Corporation, resmi mengumumkan temuan insiden kebocoran data (data breach) skala masif yang menyerang salah satu infrastruktur sistem emailnya. Lantaran sistem tersebut turut disewa dan digunakan bersama oleh lima Perusahaan Penyedia Jasa Internet (ISP) besar lainnya di Jepang, efek domino kebocoran ini meluas hingga ke enam korporasi berbeda.

Berdasarkan hasil investigasi internal sementara, insiden siber ini dipicu oleh aksi kelompok peretas yang berhasil mengeksploitasi celah keamanan (vulnerability) pada perangkat lunak pihak ketiga (third-party software) yang terintegrasi di dalam ekosistem server KDDI.

Meskipun lubang keamanan tersebut diklaim telah berhasil ditambal, pihak KDDI mengeluarkan peringatan resmi: “Tetap terdapat indikasi kuat bahwa alamat email beserta kata sandi (password) milik pelanggan telah berhasil dikuasai oleh pihak ketiga yang tidak sah.”

Daftar 6 ISP Jepang yang Terdampak

KDDI Corporation merupakan salah satu pilar telekomunikasi terbesar di Jepang dengan kekuatan lebih dari 45.000 karyawan dan mencatatkan pendapatan tahunan menembus $32,4 miliar.

Akibat kedudukan sistem email yang terpusat, insiden interupsi ilegal ini secara otomatis berdampak langsung pada enam penyedia layanan internet komersial, meliputi:

1. KDDI Corporation (Layanan Utama)
2. STNet, Inc.
3. JCOM Co., Ltd.
4. Chubu Telecommunications Co., Inc.
5. NIFTY Corporation
6. BIGLOBE Inc.

Skala Kebocoran: Mengincar Hingga 14,22 Juta Akun Pelanggan

Manajemen KDDI mengonfirmasi bahwa proses audit forensik digital untuk menghitung jumlah riil korban terdampak masih terus berjalan di bawah pengawasan ketat. Namun, dalam skenario dampak terburuk, data sensitif yang berisiko terekspos ke publik diproyeksikan mencakup hingga 14,22 juta akun pelanggan.

Angka akumulasi fantasis ini mencakup kompilasi data dari:

• Kelompok pelanggan aktif (current customers).
• Kelompok mantan pelanggan (former customers).
• Berkas arsip akun usang yang sudah tidak aktif digunakan (inactive accounts).

Sebagai faktor mitigasi, pihak KDDI mengeklaim bahwa sebagian dari basis data kata sandi tersebut disimpan dalam format acak terenkripsi (hashed and/or encrypted form), sehingga tidak bisa langsung disalahgunakan oleh peretas untuk melakukan pengambilalihan akun secara instan (account hijacks). Kendati demikian, perusahaan enggan merinci metode enkripsi apa yang mereka terapkan serta berapa persentase akun yang kata sandinya masih tersimpan dalam format teks biasa (plaintext).

Kronologi Penanganan dan Imbauan bagi Konsumen

Rantai penanganan taktis yang telah dieksekusi oleh KDDI berjalan dalam garis waktu berikut:

• 17 Juni 2026: Tim keamanan siber KDDI pertama kali mendeteksi adanya aktivitas mencurigakan di dalam sistem jaringan, langsung memblokir akses penyerang, dan mulai mengontak perwakilan lima ISP terdampak.
• Laporan Regulasi: KDDI telah melayangkan laporan resmi terkait pelanggaran privasi ini kepada Komisi Perlindungan Informasi Pribasi Jepang (PPC) serta Kementerian Urusan Internal dan Komunikasi Jepang.
• Langkah Mitigasi Konsumen: Sementara proses penguatan dinding pertahanan server terus dikerjakan bersama para mitra ISP, seluruh pelanggan yang menggunakan layanan email dari enam operator di atas sangat disarankan untuk segera melakukan setel ulang (reset) kata sandi akun mereka. Pengguna juga didesak untuk mengaktifkan fitur Verifikasi Dua Faktor (2FA) jika tersedia guna memberikan lapisan perlindungan berlapis dari ancaman spionase digital.