Perusahaan pembayaran Israel Nayax menolak membayar uang tebusan yang diminta peretas setelah mereka mencuri catatan transaksi dan dokumen bisnis dari akun cloud yang terhubung dengan salah satu anak perusahaannya. Perusahaan yang tercatat di Nasdaq dan Tel Aviv tersebut mengonfirmasi pada 14 Juli bahwa data telah dieksfiltrasi, enam hari setelah pertama kali mengungkap adanya aktivitas mencurigakan pada 8 Juli. Dewan Nayax memutuskan tidak memenuhi tuntutan pemerasan para penyerang, dengan menyatakan bahwa membayar tidak akan sejalan dengan kepentingan jangka panjang pelanggan, mitra, karyawan, maupun pemegang saham. Para peretas mengancam akan memublikasikan materi yang diduga dicuri jika Nayax tidak membayar pada 21 Juli. Perusahaan bekerja sama dengan otoritas penegak hukum di Israel dan Amerika Serikat, meskipun jumlah uang tebusan dan identitas pelaku tetap tidak diungkapkan.
Hasil investigasi Nayax menemukan peretas menyalin cadangan yang berisi dokumen hasil pindai, informasi terkait bisnis, serta catatan transaksi pembayaran. Perusahaan menyatakan bahwa catatan transaksi tersebut tidak mencakup nama pemegang kartu, kode keamanan CVV, atau informasi identifikasi lainnya karena detail seperti itu umumnya tidak disimpan dalam sistemnya. Jumlah transaksi dalam cadangan, tanggal yang tercakup dalam catatan, serta jumlah merchant dan konsumen yang terdampak belum diungkapkan.
Proporsi besar transaksi yang terdampak melibatkan dompet digital seperti Apple Pay dan Google Pay, menurut Nayax. Pembayaran tersebut menggunakan kredensial yang ditokenisasi, bukan detail kartu yang dapat digunakan ulang. Perusahaan mengakui bahwa peninjauan terhadap cakupan yang tepat dan seluruh isi data curian masih berlangsung.
Nayax pertama kali melaporkan insiden pada 8 Juli setelah mendeteksi aktivitas yang tidak wajar pada akun komputasi awan yang terkait dengan sebuah anak perusahaan. Akun tersebut diblokir setelah aktivitasnya teridentifikasi. Perusahaan belum mengungkap kapan intrusi dimulai, bagaimana para penyerang memperoleh akses, atau berapa lama mereka berada di dalam akun.
Nayax menyatakan dana pelanggan yang diamankan tetap tidak tersentuh dan para penyerang tidak memperoleh akses tidak sah ke akun pelanggan. Lingkungan produksi, sistem inti, dan infrastruktur pemrosesan pembayaran perusahaan tidak terdampak, dan operasi terus berjalan tanpa gangguan.
Didirikan pada 2005, Nayax menyediakan penerimaan pembayaran, manajemen merchant, dan teknologi loyalitas untuk operator bisnis ritel tanpa pengawasan dan tradisional. Per 31 Maret, perusahaan memiliki 13 kantor, sekitar 1.250 karyawan, serta koneksi ke lebih dari 80 pengakuisisi merchant dan metode pembayaran. Perusahaan memproses pembayaran atas nama merchant, sehingga konsumen mungkin melihat Nayax tercantum di laporan kartu setelah melakukan pembelian dari mesin penjual otomatis atau terminal layanan mandiri lainnya.
Pelanggaran terjadi pada periode pertumbuhan yang cepat dan restrukturisasi biaya di Nayax. Perusahaan melaporkan pendapatan sekitar $400 juta pada 2025, naik sekitar 24%, dan keuntungan bersih $35,5 juta setelah mencatat kerugian pada tahun sebelumnya. Nayax memproyeksikan pendapatan 2026 berada di kisaran $510 juta hingga $520 juta.
Tak lama sebelum insiden siber, perusahaan dilaporkan melakukan pemutusan kerja terhadap 32 karyawan, setara sekitar 3% dari total tenaga kerjanya, termasuk 20 posisi di Israel. Keputusan itu menyusul putaran pengurangan sebelumnya.
Serangan siber telah menghasilkan biaya untuk investigasi forensik, perbaikan, peninjauan sistem, dan respons insiden. Nayax mengatakan biaya tambahan bisa muncul, sementara skema asuransi atau penggantian kerugian dapat menutup sebagian tagihan. Perusahaan belum menghitung total biaya tersebut atau mengungkap apakah mereka memperkirakan investigasi regulasi, pemberitahuan kepada konsumen, atau gugatan di yurisdiksi mana pun. Nayax menyatakan pihaknya saat ini tidak mengharapkan insiden tersebut berdampak material pada kondisi keuangan atau hasil operasionalnya.
Data apa yang dicuri peretas dari Nayax? Peretas menyalin cadangan yang berisi dokumen hasil pindai, informasi terkait bisnis, serta catatan transaksi pembayaran dari akun cloud yang terhubung dengan anak perusahaan Nayax. Catatan transaksi tersebut tidak mencakup nama pemegang kartu, kode keamanan CVV, atau informasi identifikasi, karena detail seperti itu umumnya tidak disimpan dalam sistem Nayax. Proporsi besar transaksi yang terdampak melibatkan dompet digital seperti Apple Pay dan Google Pay, yang menggunakan kredensial bertoken.
Kapan Nayax mengungkap serangan siber tersebut? Nayax pertama kali melaporkan insiden pada 8 Juli setelah mendeteksi aktivitas yang tidak wajar pada akun komputasi awan yang terkait dengan sebuah anak perusahaan. Perusahaan mengonfirmasi pada 14 Juli bahwa data telah dieksfiltrasi. Peretas mengancam akan memublikasikan materi yang diduga dicuri jika Nayax tidak membayar pada 21 Juli.
Mengapa Nayax menolak membayar uang tebusan? Dewan Nayax memutuskan untuk tidak memenuhi permintaan pemerasan para penyerang karena membayar tidak akan sejalan dengan kepentingan jangka panjang pelanggan, mitra, karyawan, atau pemegang sahamnya. Perusahaan bekerja sama dengan otoritas penegak hukum di Israel dan Amerika Serikat.
Berita Terkait
Saham SpaceX Turun di Bawah Harga IPO setelah Anjlok 43% dari Puncaknya
Keyrock Mengakuisisi Aset BlockFills senilai $3,25 juta setelah $75M Runtuh
Saham Netflix Turun 9% karena Perkiraan Q3 Meleset dari Estimasi Wall Street
Malware untuk macOS Membajak Sesi Telegram dan Menargetkan Dompet Kripto
Saham SharonAI Turun 7% pada Kamis Meski Ada Kesepakatan Cloud senilai 1,32 miliar dolar AS dengan AI Lab