Bagikan:

JAKARTA - Situs web perencanaan pernikahan populer, Zola, yang dikenal dengan pendaftar hadiah online, manajemen daftar tamu, dan situs web pernikahan, Senin, 23 Mei  mengonfirmasi bahwa peretas telah berhasil mengakses akun sejumlah penggunanya dan mencoba melakukan transfer tunai palsu.

Selama akhir pekan, beberapa pengguna Zola memposting di media sosial yang menghubungkan rekening bank mereka telah digunakan untuk membeli kartu hadiah. Satu tweet yang ditandai oleh pengguna Reddit mengklaim menunjukkan akun Zola yang diretas dijual kembali di pasar gelap dan digunakan untuk membeli voucher hadiah.

Direktur komunikasi Zola, Emily Forrest, mengatakan kepada The Verge bahwa akses akun yang tidak sah terjadi melalui serangan "penjejalan kredensial", di mana peretas menguji kombinasi email dan kata sandi yang dicuri dari pelanggaran lain di berbagai situs web untuk menargetkan orang yang menggunakan kata sandi yang sama di beberapa situs.

“Kami memahami gangguan dan tekanan yang disebabkan oleh beberapa pasangan kami, tetapi kami dengan senang hati melaporkan bahwa semua upaya penipuan transfer dana tunai telah diblokir,” kata Forrest. “Kartu kredit dan info bank tidak pernah terekspos dan terus dilindungi.”

Forrest juga mengatakan bahwa perusahaan mengetahui pesanan kartu hadiah palsu dan sedang bekerja untuk memperbaikinya. Dia mengatakan bahwa tidak ada peretasan langsung infrastruktur Zola dan kurang dari 0,1 persen pasangan yang menggunakan Zola terpengaruh.

Pada Minggu, 22 Mei, Zola mengirimkan email massal yang memberi tahu pengguna bahwa kata sandi akun telah diatur ulang secara otomatis. Zola mengatakan bahwa tindakan ini telah diperluas ke semua pengguna situs "karena sangat berhati-hati," meskipun sebagian besar tidak terpengaruh. Baik versi iOS dan Android dari aplikasi Zola juga dinonaktifkan selama insiden tersebut tetapi sejak itu telah diaktifkan kembali.

Seperti yang disoroti TechCrunch, Zola saat ini tidak menyediakan otentikasi dua faktor untuk pengguna akun, membuat serangan isian kredensial jauh lebih mudah dicapai. Kurangnya proses otentikasi sekunder bertentangan dengan praktik terbaik untuk situs seperti Zola, yang menangani sejumlah besar data pengguna yang sensitif secara pribadi dan finansial.

Zola telah mengarahkan setiap pengguna yang terpengaruh untuk menghubungi [email protected] untuk informasi lebih lanjut.