Seorang peretas mengklaim telah membobol Condé Nast dan membocorkan dugaan database WIRED yang berisi lebih dari 2,3 juta catatan pelanggan, sekaligus memperingatkan bahwa mereka berencana merilis hingga 40 juta catatan tambahan untuk properti Condé Nast lainnya.
Pada tanggal 20 Desember, pelaku ancaman yang menggunakan nama “Lovely” membocorkan database di forum peretasan, menawarkan akses sekitar $2,30 dalam sistem kredit situs. Dalam postingan tersebut, Lovely menuduh Condé Nast mengabaikan laporan kerentanan dan mengklaim perusahaan gagal memperhatikan keamanan dengan serius.
“Condé Nast tidak peduli dengan keamanan data penggunanya. Kami membutuhkan waktu sebulan penuh untuk meyakinkan mereka agar memperbaiki kerentanan di situs web mereka,” demikian bunyi postingan di forum peretasan.
“Kami akan membocorkan lebih banyak data penggunanya (40+ juta) selama beberapa minggu ke depan. Selamat menikmati!”
Sumber: BleepingComputer
Orang yang sama kemudian membocorkan data tersebut di forum peretasan lainnya, di mana pengguna juga harus mengeluarkan kredit forum untuk mengungkap kata sandi arsip yang berisi data tersebut.
Lovely juga membagikan rekor jumlah properti Condé Nast lainnya yang mereka klaim telah dicuri datanya, termasuk, berdasarkan singkatan yang digunakan, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men’s Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com, dan Condé Nast Traveler.
Meskipun Condé Nast belum mengonfirmasi bahwa itu telah dibobol, BleepingComputer menganalisis database yang bocor dan mampu memvalidasi dua puluh catatan sebagai pelanggan WIRED yang sah.
Kumpulan data berisi 2.366.576 catatan total dan 2.366.574 alamat email unik, dengan stempel waktu mulai dari 26 April 1996 hingga 9 September 2025.
Setiap catatan mencakup ID internal unik pelanggan, alamat email, dan data opsional, seperti nama depan dan belakang, nomor telepon, alamat fisik, jenis kelamin, dan ulang tahun. Banyak dari bidang ini yang kosong.
Catatan tersebut juga mencakup stempel waktu pembuatan dan pembaruan akun, informasi sesi terakhir, dan bidang khusus WIRED seperti nama pengguna tampilan serta tanggal pembuatan dan pembaruan akun WIRED.
Sumber: BleepingComputer
Meskipun banyak bidang catatan yang kosong, beberapa berisi rincian pribadi tambahan.
Sekitar 284.196 catatan (12,01%) menyertakan nama depan dan belakang, 194.361 catatan (8,21%) menyertakan alamat fisik, 67.223 catatan (2,84%) menyertakan tanggal lahir, dan 32.438 catatan (1,37%) menyertakan nomor telepon.
Subset yang jauh lebih kecil mencakup profil yang lebih lengkap, dengan 1.529 catatan (0,06%) berisi nama lengkap, tanggal lahir, nomor telepon, alamat, dan jenis kelamin.
Alon Gal, salah satu pendiri dan CTO Hudson Rock, juga memverifikasi catatan tersebut menggunakan log infostealer yang berisi kredensial yang sebelumnya disusupi.
“Peneliti kami mengidentifikasi kredensial pelanggan yang sah untuk wired.com dalam log infeksi pencuri infostealer global,” demikian bunyi sebuah artikel di Infostealer.com.
“Dengan mencocokkan kredensial yang disusupi ini dengan catatan di database yang bocor, kami telah secara pasti mengonfirmasi keaslian kumpulan data tanpa interaksi apa pun dengan organisasi korban.”
Basis data yang bocor telah ditambahkan Apakah saya telah ditipumemungkinkan pengguna memeriksa apakah alamat email mereka terkena kebocoran data.
Mengaku sebagai peneliti keamanan
Sebelum kebocoran tersebut, Lovely dilaporkan mengaku sebagai peneliti keamanan yang menghubungi Dissent Doe dari DataBreaches.net untuk meminta bantuan dalam mengungkapkan kerentanan secara bertanggung jawab kepada Condé Nast.
Menurut Pelanggaran Data.netindividu tersebut menghubungi mereka pada akhir November untuk mencari bantuan untuk menghubungi tim keamanan Condé Nast mengenai kerentanan yang diduga memungkinkan penyerang melihat dan mengubah informasi akun pengguna.
Orang tersebut awalnya mengatakan bahwa mereka hanya mengunduh sejumlah kecil catatan untuk memberikan bukti kepada Condé Nast, termasuk catatan yang diverifikasi sebagai milik DataBreaches.net dan karyawan WIRED.
Namun, setelah tidak mendapat tanggapan dari Condé Nast, orang tersebut kemudian mengatakan kepada Dissent Doe bahwa mereka telah mengunduh seluruh database dan mengancam akan membocorkannya.
Dissent Doe menyimpulkan bahwa dia telah disesatkan dan menggambarkan insiden tersebut sebagai kasus di mana mereka diperankan oleh aktor ancaman yang mengunduh dan membocorkan data curian daripada melakukan pengungkapan yang bertanggung jawab.
“Untuk ‘Lovely’, mereka memerankan saya. Condé Nast tidak boleh membayar mereka sepeser pun, dan tidak ada orang lain yang harus membayarnya, karena kata-kata mereka jelas tidak dapat dipercaya,” DataBreaches.net mengakui.
BleepingComputer menghubungi Condé Nast dengan pertanyaan tentang kejadian tersebut, namun belum menerima tanggapan saat ini.
Hancurkan silo IAM seperti Bitpanda, KnowBe4, dan PathAI
IAM yang rusak bukan hanya masalah TI – dampaknya akan berdampak pada seluruh bisnis Anda.
Panduan praktis ini membahas mengapa praktik IAM tradisional gagal memenuhi tuntutan modern, contoh seperti apa IAM yang “baik”, dan daftar periksa sederhana untuk membangun strategi yang terukur.
