Perusahaan fintech Figure mengonfirmasi terjadinya kebocoran data besar-besaran yang melibatkan hampir satu juta pelanggan. Kelompok peretas bernama ShinyHunters disebut berhasil menyusup ke sistem operasional perusahaan dan mencuri data penting.
Dalam pernyataan awal, manajemen Figure menyebut hanya sejumlah file terbatas yang sempat diakses. Namun, temuan berbeda disampaikan Troy Hunt, pencipta situs pelacakan kebocoran data Have I Been Pwned, yang menyatakan skala insiden jauh lebih luas.
Menurut Hunt, data yang bocor mencakup informasi sensitif seperti nama lengkap, alamat fisik, tanggal lahir, dan nomor telepon. Selain itu, terdapat sekitar 967.200 alamat surel unik pengguna yang ikut terekspos. Total data yang dibocorkan diperkirakan mencapai 2,5 gigabyte.
Data tersebut kemudian dipublikasikan secara massal oleh ShinyHunters melalui situs kebocoran mereka. Publikasi ini disebut dilakukan sebagai bentuk intimidasi bisnis.
Risiko keamanan bagi pengguna
Kombinasi data identitas pribadi dengan tanggal lahir dan informasi kontak dinilai dapat meningkatkan risiko serangan siber, terutama phishing yang lebih terarah. Jika disalahgunakan, data semacam ini berpotensi memicu pengambilalihan akun serta berbagai bentuk penipuan identitas yang dapat berdampak pada sektor perbankan dan layanan keuangan digital.
Dugaan motif pemerasan
Serangan ini diduga terkait upaya pemerasan terhadap operasional perusahaan. ShinyHunters dikenal sebagai kelompok yang kerap mengancam akan mempublikasikan data sensitif apabila tuntutan uang tebusan tidak dipenuhi. Pola tersebut juga disebut tercermin dalam cara mereka membocorkan data untuk memberi tekanan.
Imbas bagi industri fintech
Insiden ini memunculkan kekhawatiran lebih luas di industri teknologi finansial, mengingat perusahaan fintech mengandalkan data dalam jumlah besar untuk mempercepat proses kredit dan mendukung operasional bisnis. Kondisi ini membuat mereka menjadi target bernilai tinggi bagi pelaku kejahatan siber.
Hingga kini, Figure belum merinci apakah kebocoran turut mencakup nomor Jaminan Sosial maupun data keuangan nasabah. Meski demikian, kebocoran data kontak dan informasi pribadi dinilai sudah cukup untuk mengganggu kepercayaan pelanggan dan investor, terutama di tengah persaingan ketat di sektor fintech.
Ke depan, langkah investigasi dan mitigasi risiko serangan lanjutan akan menjadi krusial bagi stabilitas operasional dan reputasi perusahaan. Insiden ini juga menjadi pengingat bagi operator fintech lain untuk memperkuat perlindungan dan pengawasan keamanan data.
