Startup Fintech Revolut telah mengonfirmasi bahwa pihaknya terkena serangan siber yang sangat bertarget yang memungkinkan peretas mengakses detail pribadi puluhan ribu pelanggan.

Juru bicara Revolut Michael Bodansky memberi tahu TechCrunch bahwa “pihak ketiga yang tidak sah memperoleh akses ke detail sebagian kecil (0,16%) pelanggan kami untuk waktu yang singkat.” Revolut menemukan akses jahat pada 11 September dan mengisolasi serangan keesokan paginya.

“Kami segera mengidentifikasi dan mengisolasi serangan itu untuk membatasi dampaknya secara efektif dan telah menghubungi pelanggan yang terkena dampaknya,” kata Bodansky. “Pelanggan yang belum menerima email tidak terpengaruh.”

Revolut, yang memiliki lisensi perbankan di Lituania, tidak mengatakan dengan pasti berapa banyak pelanggan yang terpengaruh. Situs webnya mengatakan bahwa perusahaan tersebut memiliki sekitar 20 juta pelanggan; 0,16% akan berarti sekitar 32.000 pelanggan. Namun, menurut pengungkapan pelanggaran Revolut kepada pihak berwenang di Lituania, yang pertama kali ditemukan oleh Bleeping Computer, perusahaan mengatakan 50.150 pelanggan terkena dampak pelanggaran tersebut, termasuk 20.687 pelanggan di Wilayah Ekonomi Eropa dan 379 warga negara Lituania.

Revolut juga menolak menyebutkan jenis data apa yang diakses tetapi mengatakan kepada TechCrunch bahwa tidak ada dana yang diakses atau dicuri dalam insiden tersebut. Dalam pesan yang dikirim ke pelanggan yang terkena dampak yang diposting ke Reddit, perusahaan mengatakan bahwa “tidak ada detail kartu, PIN, atau kata sandi yang diakses.” Namun, pengungkapan pelanggaran menyatakan bahwa peretas kemungkinan mengakses sebagian data pembayaran kartu, bersama dengan nama, alamat, alamat email, dan nomor telepon pelanggan.

Pengungkapan tersebut menyatakan bahwa pelaku ancaman menggunakan metode rekayasa sosial untuk mendapatkan akses ke database Revolut, yang biasanya melibatkan membujuk karyawan untuk menyerahkan informasi sensitif seperti kata sandi mereka. Ini telah menjadi taktik populer dalam serangan baru-baru ini terhadap sejumlah perusahaan terkenal, termasuk Twilio, Mailchimp, dan Okta.

Tetapi Revolut memperingatkan pelanggan tentang email phishing, dan mendesak pelanggan untuk berhati-hati saat menerima komunikasi apa pun terkait pelanggaran tersebut. Startup menyarankan pelanggan untuk tidak menelepon atau mengirim pesan SMS yang meminta data login atau kode akses.

Sebagai tindakan pencegahan, Revolut juga telah membentuk tim khusus yang bertugas memantau akun pelanggan untuk memastikan bahwa uang dan data aman.

“Kami menangani insiden seperti ini dengan sangat serius, dan kami ingin meminta maaf dengan tulus kepada setiap pelanggan yang terkena dampak insiden ini karena keselamatan pelanggan kami dan data mereka adalah prioritas utama kami di Revolut,” tambah Bodansky.

Tahun lalu Revolut mengumpulkan $800 juta dalam bentuk modal baru, menilai startup tersebut lebih dari $33 miliar.

22 September: Diperbarui untuk memperbaiki tanggal pelanggaran.