Perusahaan yang bermarkas di Singapura, Group-IB, mengatakan terdapat ancaman terhadap data pelanggan di forum “bawah tanah”, dengan kebocoran yang terjadi kembali pada awal Februari tahun ini.
Sebagaimana dikutip dari CNA, CEO Ilya Sachkov mengatakan dalam rilisnya bahwa database pertama diiklankan di dua forum ‘underground’ masing-masing pada 6 Juli dan 17 Juli. Menurut penjual, database terdiri dari 500.000 catatan termasuk nama pengguna dan potongan password dari situs web Sephora di Indonesia dan Thailand.
Ia juga menambahkan bahwa daftar tersebut mengatakan bahwa datanya berasal dari Februari tahun ini.
“Basis data kedua muncul di forum underground pada 28 Juli tahun ini, sehari sebelum berita pelanggaran itu pecah. Nama database "Sephora 2019/03 - Shopping - [3,2 juta]" yang berisi 3,2 juta catatan dan bocor pada bulan Maret tahun ini,” kata perusahaan itu.
Baca Juga: Sephora Tawarkan Customer Experience Mewah
Ilya mengatakan timnya menggunakan alat miliknya untuk "menyusup ke sumber-sumber di komunitas peretasan tertutup" untuk menghubungi penjual, yang kemudian memberikan sampel data yang dijual.
Ia juga mengungkapkan bahwa sampel menunjukkan basis data berisi login, kata sandi terenkripsi, tanggal registrasi dan aktivitas terakhir, IP registrasi, IP terakhir, jenis kelamin, nama, nama keluarga, etnis, warna mata, warna kulit, jenis kulit, warna rambut, masalah rambut, masalah rambut, kebutuhan penting makeup , dan rutinitas perawatan kulit, seraya menambahkan bahwa kumpulan data dijual seharga US$1.900 (S$2.613).
"Meskipun dalam catatan tidak menyertakan informasi pembayaran atau kata sandi yang dipecahkan, informasi terperinci semacam itu tentang pelanggan dapat digunakan untuk melakukan rekayasa sosial maupun serangan phishing yang ditargetkan. Itu sebabnya skala pelanggaran tidak boleh diremehkan," terang Sachkov.
Baca Juga: Ngeriii… Pembobolan Data Besar-Besaran pada Kartu Kredit Capital One
CNA telah menghubungi Sephora atas komentarnya tentang temuan Group-IB.
Pengecer kecantikan internasional mengatakan pada hari Senin detail pribadi pelanggan online Sephora di Singapura, Malaysia, Indonesia, Thailand, Filipina, Hong Kong, Australia dan Selandia Baru telah bocor, akan tetapi tidak mengungkapkan jumlah pelanggan yang terpengaruh.
Ia menambahkan bahwa tidak ada informasi kartu kredit yang diakses dan tidak ada alasan untuk percaya bahwa data pribadi apa pun telah disalahgunakan. Sephora juga sudah mengontrak para ahli eksternal, yang menyimpulkan bahwa tidak ada masalah besar yang ditemukan di situs web Sephora di Asia Tenggara dan juga tidak menemukan jejak serangan siber.
Namun, pernyataan ini menuai kritik dari vendor keamanan siber lain. Nabil Hannan, kepala pengelola di Synopsys Software Integrity Group, mempertanyakan klaim Sephora bahwa tidak ada alasan mengapa data pribadi disalahgunakan.
"Ini sangat sulit untuk diklaim, mengingat mereka telah membuat pernyataan bahwa data pengguna telah dilanggar, termasuk hal-hal seperti nama depan dan belakang, tanggal lahir dan jenis kelamin," ujar Hannan.
Baca Juga: Sembarangan Unggah Data KTP-El di Medsos, Bahaya Mengintai Anda!
"Tidak mungkin menentukan bagaimana data ini mungkin disalahgunakan setelah pelanggaran," sambungnya.
Dia juga menunjukkan bahwa sementara tidak ada kerentanan dengan skala besar yang ditemukan.
"Perusahaan juga perlu mempertimbangkan kemungkinan adanya ancaman orang dalam yang berbahaya. Misalnya, ketika melihat di mana basis data dilanggar, penting untuk memahami model ancaman sistem, dan menentukan hal-hal seperti siapa yang memiliki akses ke basis data dan jika mereka benar-benar perlu memiliki akses," pungkas Hannan.
Komisi Perlindungan Data Pribadi Singapura (PDPC) pun mengatakan bahwa pihaknya telah diberitahu oleh Sephora Digital SEA mengenai insiden tersebut dan sedang “mencari informasi”.