BALI — AssuranceAmerica, penyedia asuransi kendaraan yang beroperasi di lebih dari belasan negara bagian AS, menjadi korban serangan siber yang menargetkan karyawannya. Perusahaan baru menyadari adanya penyusup pada 17 Maret lalu, dan investigasi baru rampung pada 15 Juni. Hasilnya, peretas berhasil membawa kabur data sensitif milik hampir 7 juta individu.
Data Apa Saja yang Bocor?
Dalam pemberitahuan yang dikirimkan ke pelanggan dan dilihat oleh TechCrunch, AssuranceAmerica merinci data yang dicuri meliputi nama, informasi kontak, dan nomor SIM. Namun, bukan hanya itu. Peretas juga mengambil informasi polis asuransi, detail kendaraan, hingga data klaim nasabah.
Nomor SIM adalah salah satu jenis data identitas yang paling berbahaya jika jatuh ke tangan kriminal. Angka ini bisa digunakan untuk penipuan identitas, pemalsuan dokumen, atau bahkan membuka rekening bank atas nama korban. Sayangnya, AssuranceAmerica tidak menyebut secara spesifik jenis data pribadi lain yang ikut terekspos.
Modus Serangan: Karyawan Jadi Target
AssuranceAmerica tidak merinci penyebab pasti kebocoran, namun mengakui bahwa peretas “menargetkan salah satu karyawan perusahaan.” Langkah selanjutnya yang diambil adalah menonaktifkan kredensial yang telah disusupi. Metode ini mengingatkan pada pola serangan sebelumnya yang memanfaatkan malware pencuri kata sandi atau perangkat lunak pihak ketiga yang sudah dikompromikan.
TechCrunch telah mencoba mengirimkan pertanyaan via email kepada CEO AssuranceAmerica Joe Skruck dan pendiri Guy Millner, termasuk menanyakan apakah perusahaan sempat dihubungi peretas atau membayar tebusan. Hingga berita ini diturunkan, belum ada tanggapan dari keduanya.
Jumlah Korban Capai 6,99 Juta Orang
Berdasarkan pemberitahuan yang didaftarkan ke kantor jaksa agung negara bagian Indiana dan Maine, AssuranceAmerica mencatat jumlah korban mencapai 6,99 juta orang. Surat pemberitahuan resmi akan mulai dikirimkan pada 10 Juli. Menariknya, portal data breach Maine saat ini sedang offline dan dalam proses peninjauan setelah adanya laporan kebocoran palsu yang sempat dipublikasikan di situs mereka bulan lalu.
Gelombang Serangan SIM di AS Kian Marak
Insiden ini bukanlah kasus pertama. Pada Juni lalu, pemerintah negara bagian Texas melaporkan bahwa peretas mencuri setidaknya 3 juta nomor SIM dan paspor dalam serangan yang menargetkan divisi taman dan satwa liar negara bagian tersebut. TechCrunch sebelumnya juga melaporkan kebocoran massal dokumen identitas pemerintah dari berbagai sektor, mulai dari sistem check-in hotel, aplikasi transfer uang, penyedia telepon penjara, hingga layanan visa Inggris.
Meningkatnya jumlah kebocoran ini beriringan dengan tren global di mana situs web dan aplikasi makin sering meminta pengguna menyerahkan dokumen identitas untuk verifikasi usia. Dorongan pemerintah untuk menerapkan undang-undang verifikasi usia disebut-sebut menjadi salah satu pemicu makin bernilainya data SIM di pasar gelap.