SOPA Images / Kontributor via LightRocket / Getty Images
Ikuti ZDNET: Tambahkan kami sebagai sumber pilihan di Google.
*
Poin Penting ZDNET:**
- Pelanggaran data di Aflac berdampak pada lebih dari 22 juta pelanggan.
- Nomor Jaminan Sosial dan data pribadi lainnya berhasil dicuri.
- Aflac menawarkan pemantauan kredit gratis dan layanan lainnya.
***
Kebanyakan dari kita mungkin mengenal Aflac dari iklan bebek yang lucu dan khas. Namun, apa yang terjadi pada jutaan nasabah perusahaan asuransi ini sama sekali bukan bahan tertawaan, terlebih jika Anda salah satunya.
Pada 20 Juni, Aflac mengungkapkan bahwa mereka menjadi korban serangan siber yang dilancarkan oleh kelompok canggih sebagai bagian dari gelombang serangan terhadap perusahaan asuransi. Perusahaan mencatat bahwa mereka menyadari aktivitas mencurigakan tersebut pada 12 Juni. Saat itu, Aflac menyatakan akan melakukan tinjauan terhadap insiden untuk menentukan apa yang terjadi dan siapa saja yang terdampak.
Kini tinjauan tersebut telah selesai, dan berikut adalah rincian lengkapnya.
Data Pribadi dan Sensitif Berhasil Dicuri
Dalam analisisnya, Aflac menemukan bahwa data pribadi dan sensitif telah dicuri dari sekitar 22,65 juta pelanggan, penerima manfaat, karyawan, agen, serta pihak lain yang terkait dengan perusahaan. Data yang dicuri mencakup nama, informasi kontak, informasi klaim, informasi kesehatan, dan Nomor Jaminan Sosial. Namun, tidak semua data ini bocor untuk setiap individu yang terdampak.
Meski Aflac tidak mengidentifikasi pelakunya, serangan ini tampaknya dilancarkan oleh Scattered Spider, grup ransomware terkenal yang telah menjadikan industri asuransi sebagai sasaran utama. Laporan Juli dari penyedia keamanan siber CrowdStrike mengungkapkan bagaimana grup ini menggunakan rekayasa sosial, SIM swapping, alat akses jarak jauh, dan taktik lainnya untuk mencuri data dan menyandera nya untuk tebusan.
Jika uang tebusan tidak dibayar atau pelanggaran dapat dikendalikan, Scattered Spider mengancam akan merilis data tersebut ke publik.
Pada Juni, hanya beberapa hari sebelum Aflac mengumumkan serangan tersebut, Google bahkan memperingatkan bahwa Scattered Spider sedang beralih dari target sebelumnya ke perusahaan asuransi, seperti dilaporkan oleh CyberScoop.
"Google Threat Intelligence Group kini mengetahui beberapa intrusi di AS yang memiliki semua ciri khas aktivitas Scattered Spider," ujar John Hultquist, analis utama di Google Threat Intelligence Group, dalam sebuah email pada waktu itu.
"Kami melihat insiden di industri asuransi. Mengingat sejarah aktor ini yang fokus pada satu sektor dalam satu waktu, industri asuransi harus berada dalam siaga tinggi, terutama untuk skema rekayasa sosial yang menyasar help desk dan pusat panggilan mereka," kata Hultquist.
Cara Melindungi Diri Anda
Setelah mengetahui insiden tersebut pada Juni lalu, Aflac mereset kata sandi untuk semua akun yang berpotensi dikompromikan. Perusahaan mengatakan mereka juga menyiapkan pemantauan lebih lanjut untuk mencari tanda-tanda tambahan aktivitas mencurigakan. Aflac menekankan bahwa mereka tidak mengetahui adanya penggunaan curang dari informasi yang dicuri, namun nasabah disarankan untuk mengambil langkah-langkah tertentu untuk melindungi diri.
Pertama, perusahaan asuransi ini telah bekerja sama dengan layanan pemantauan kesehatan CyEx Medical Shield untuk menyediakan pemantauan kredit gratis, perlindungan dari pencurian identitas, perlindungan dari penipuan medis, serta dukungan pelanggan bagi nasabah selama 24 bulan.
Untuk mendaftar layanan ini, telepon ke 1-855-361-0305 pada hari Senin hingga Jumat pukul 9 pagi hingga 9 malam ET atau hari Sabtu pukul 9 pagi hingga 5:30 sore ET. Namun, jangan menunggu terlalu lama. Batas waktu pendaftaran adalah 18 April 2026.
Kedua, Aflac menasihati nasabah untuk mewaspadai segala upaya pencurian identitas atau penipuan. Artinya, Anda perlu meninjau laporan kredit, akun keuangan, dan pernyataan asuransi Anda untuk mendeteksi aktivitas yang tidak biasa.
Ketiga dan terakhir, saran-saran umum tetap berlaku seperti biasa.
Pastikan Anda mengamankan akun dengan kata sandi yang kuat (atau kode akses jika tersedia) dan autentikasi dua faktor. Waspadai upaya phishing melalui email, pesan instan, atau situs web. Serta pastikan komputer Anda dilindungi dengan perangkat lunak keamanan yang tepat yang dapat memblokir malware dan memperingatkan Anda tentang file serta aktivitas mencurigakan.