Dunia maya Indonesia sedang gempar dengan kasus kebocoran data myBCA. Seorang anggota Breachforums bernama Black yang memiliki reputasi cukup terpercaya di forum tersebut menawarkan informasi akses pada rekening BCA.
Akses rekening tersebut dijual dengan harga mulai dari USD 500 sekitar Rp7,5 juta tergantung pada popularitas pemilik rekening dan saldo yang mereka miliki. Adapun data yang diperlukan untuk mendapatkan informasi ini hanya nomor rekening dan nama lengkap pemilik rekening.
"Black menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini," kata Pakar keamanan siber dan forensik digital dari Vaksincom Alfons Tanujaya
Sebagai catatan, data-data itu hanya bisa dilihat dan peretas tidak bisa melakukan transaksi karena dilindungi oleh TOTP Token One Time Password.
Guna membuktikan klaimnya, Black menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Awalnya, Vaksincom memperkirakan bahwa data-data yang diberikan Black adalah data palsu. Namun setelah melakukan pengecekan lebih jauh, data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA.
Beberapa poin yang bisa diambil dari data yang disebarkan oleh Black adalah:
1. Data rekening2 myBCA yang diberikan valid dan dan memiliki kecocokan dengan data yang dikelola oleh bank.
2. Ada nasabah yang belum pernah mengakses akun myBCAnya sejak November 2022 dan akun tersebut berhasil diakses dan ditampilkan.
3. Data yang berhasil diakses peretas adalah data kredensial myBCA.
4. Peretas mengklaim menggunakan piranti lunak tersembunyi pada sistem bank, jika klaim ini benar maka ia memiliki akses trojan pada sistem bank.
5. Ada kemungkinan peretas memiliki cukup banyak database kredensial myBCA.
Bagaimana datanya bisa bocor?
Alfons memprediksi dua kemungkinan bagaimana data akun myBCA ini bocor. Kemungkinan pertama adalah ada celah keamanan sehingga peretas bisa memasukkan piranti lunak tersembunyi dan mengakses database bank.
Kedua adalah database ini sebenarnya sudah bocor dan ada di tangan peretas dan peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut.
Apa resikonya?
1. Kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun myBCA dari peramban.
2. Meskipun valid, kredensial yang bocor tidak bisa digunakan untuk mengakses myBCA dari apps aplikasi ponsel. Hal ini karena akses myBCA dari apps membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi.
3. Meski begitu, informasi rekening nasabah menjadi bocor, seperti mutasi rekening, histori transaksi rekening, daftar transfer, dan semua yang ada di akun myBCA.
4. Resiko transaksi pencurian dana relatif kecil, karena meskipun bisa mengakses informasi rekening namun untuk transaksi myBCA melalui peramban HARUS diotorisasi oleh Token BCA (One Time Password).
5. Akses myBCA melalui apps di ponsel juga relatif aman karena setiap kali ponsel baru mengakses myBCA harus melalui veirfikasi tambahan dari BCA.
Apa yang harus dilakukan?
1. Pengguna layanan myBCA SEGERA ganti password myBCA. Ini untuk mengantisipasi database kredensial myBCA bocor. Namun sebagai catatan, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil digandakan.
Namun jika klaim peretas ini benar bahwa ia memiliki akses tersembunyi terhadap sistem bank, atau memiliki akses orang dalam maka penggantian password ini tidak akan efektif dan password yang diganti tetap akan diketahui oleh peretas.
2. Tim IT BCA segera investigasi sebenarnya apa yang terjadi dan segera melakukan mitigasinya.
| Penulis | : | Adam Rizal |
| Editor | : | Wisnu Nugroho |
KOMENTAR