TEMPO.CO, Jakarta - Ahli keamanan siber dari Vaksincom, Alfons Tanujaya menyatakan urusan data perbankan di Indonesia ternyata masih jauh dari aman. Sehingga, kata dia, situasi ini tidak membuat nasabah tenang dan damai.
Alfons menyatakan perihal ini menyusul adanya penawaran informasi akses pada rekening BCA di Breachforums pada 26 Juli 2023. “Seorang anggota Breachforums bernama Black yang memiliki reputasi cukup terpercaya di forum itu, menawarkan informasi akses pada rekening BCA,” kata dia.
Menurut dia, akses rekening ini dijual dengan harga mulai dari US $ 500 sekitar Rp. 7,5 juta tergantung pada popularitas pemilik rekening dan saldo yang mereka miliki. Adapun data yang diperlukan untuk mendapatkan informasi ini hanya nomor rekening dan nama lengkap pemilik rekening.
Menurut klaim dari Black, ia menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini. Alfons mengingatkan data ini hanya bisa dilihat, namun peretas tidak bisa melakukan transaksi karena dilindungi oleh TOTP atau Token One Time Password.
Enggan disangka sekedar klaim, Black menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Pada awalnya Vaksincom memperkirakan data yang diberikan adalah data palsu. Kemudian, setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu, dan memiliki kecocokan dengan database BCA.
Alfons memperlihatkan 2 contoh tangkapan layar yang dimaksud. Pertama, rekening myBCA yang ditampilkan oleh Black sebagai bukti ia memiliki akses terhadap data yang dijualnya. Dan kedua, beberapa rekening yang sudah lama tidak mengakses myBCA juga berhasil diakses.
Alfons mengingatkan beberapa hal mengenai data yang disebarkan oleh Black. “Data berbagai rekening myBCA yang diberikan vali dan dan memiliki kecocokan dengan data yang dikelola oleh bank,” kata Alfons. Ia menambahkan, bahkan ada nasabah yang belum pernah mengakses akun myBCAnya sejak November 2022 dan akun tersebut berhasil diakses dan ditampilkan.
Sudah dipastikan, kata dia, data yang berhasil diakses peretas adalah data kredensial myBCA. Peretas mengklaim menggunakan piranti lunak tersembunyi pada sistem bank, jika klaim ini benar maka diduga memiliki akses trojan pada sistem bank. Kemungkinan lain, peretas memiliki cukup banyak database kredensial myBCA.
Baca juga: Ajukan Keringanan UKT, Mahasiswa Baru ITB Wajib Bayar DP RP 5 Juta
Dugaan penyebab data bocor
Alfons melihat ada dua kemungkinan data akun myBCA ini bocor. Kemungkinan pertama adalah adanya celah keamanan sehingga peretas bisa memasukkan piranti lunak tersembunyi dan mengakses database bank. Kemungkinan kedua adalah database ini sebenarnya sudah bocor dan ada di tangan peretas, dan peretas mendapatkan dari pihak ketiga yang memiliki akses.
Atas kejadian ini, tentu ada resiko yang menyertainya. Alfons menyebut kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun myBCA dari peramban. Namun, kredensial yang bocor, meskipun valid tetapi tidak bisa digunakan untuk mengakses myBCA dari aplikasi ponsel. "Sebab, akses myBCA dari apps selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi," katanya.
Selain itu, informasi rekening nasabah yang bocor adalah semua informasi yang terkandung di myBCA seperti mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu dan semua informasi yang ada di akun myBCA. Menurutnya, resiko transaksi pencurian dana relatif kecil, karena meski bisa mengakses informasi rekening namun untuk transaksi myBCA melalui peramban HARUS diotorisasi oleh Token BCA (One Time Password). “Akses myBCA melalui apps di ponsel juga relatif aman karena setiap kali ponsel baru mengakses myBCA harus melalui verifikasi tambahan dari BCA,” jelasnya.
Kepada nasabah BCA, Alfons menyarankan untuk segera mengganti password myBCA. Hal iIni untuk mengantisipasi database kredensial myBCA bocor. Ia memberi catatan, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil dikopi.
Namun jika klaim peretas ini benar bahwa ia memiliki akses tersembunyi terhadap sistem bank, atau memiliki akses orang dalam maka penggantian password ini tidak akan efektif dan password yang diganti tetap akan diketahui oleh peretas.
Alfons juga memiliki saran bagi Tim IT BCA untuk segera menginvestigasi sebenarnya apa yang terjadi dan segera melakukan mitigasinya. “Jangan hanya tim humas memberikan rilis yang menenangkan tetapi sebenarnya terjadi kebocoran,” katanya.
Pilihan Editor: Cerita Pemuda NTT Harus Kubur Cita-cita Jadi Insinyur karena Tak Sanggup Bayar UKT
Selalu update info terkini. Simak breaking news dan berita pilihan dari Tempo.co di kanal Telegram “Tempo.co Update”. Klik https://t.me/tempodotcoupdate untuk bergabung. Anda perlu meng-install aplikasi Telegram terlebih dahulu.