Baca berita dengan sedikit iklan, klik di sini
TEMPO.CO, Jakarta - Data aplikasi PT Bank Central Asia Tbk, MyBCA dikabarkan bocor. Hal itu bermula dari threat actor (aktor ancaman) anggota BreachForums bernama Black yang menawarkan informasi akses pada akun myBCA. Serta menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Baca berita dengan sedikit iklan, klik di sini
Adapun data yang diperlukan untuk mendapatkan informasi itu hanya nomor rekening dan nama lengkap pemilik rekening. Black mengklaim melakukan itu dengan menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini.
Baca berita dengan sedikit iklan, klik di sini
Baca berita dengan sedikit iklan, klik di sini
Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya awalnya memperkirakan bahwa data yang diberikan adalah data palsu. “Namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA,” ujar dia lewat keterangan tertulis dikutip Sabtu, 29 Juli 2023.
Bagaimana data bisa bocor?
Alfon mengungkap ada dua kemungkinan penyebab data akun MyBCA ini bocor. Pertama, adanya celah keamanan sehingga peretas (hacker) bisa memasukkan piranti lunak tersembunyi dan mengakses database bank.
“Kemungkinan kedua, database ini sebenarnya sudah bocor dan ada di tangan peretas dan peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut,” tutur Alfons.
Apa risiko data bocor?
Adapun risikonya, dia membeberkan, yakni kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun MyBCA dari peramban. Selanjutnya, meskipun valid tapi tidak bisa digunakan untuk mengakses MyBCA dari aplikasi smartphone.
“Karena akses MyBCA dari aplikasi selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi,” kata dia.
Risiko selanjutnya adalah informasi rekening nasabah yang bocor adalah semua informasi yang terkandung di MyBCA. Alfons mencontohkan seperti mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu dan semua informasi yang ada di akun MyBCA.
Sedangkan risiko transaksi pencurian dana menurut Alfons relatif kecil. Karena meskipun bisa mengakses informasi rekening namun untuk transaksi MyBCA melalui peramban harus diotorisasi oleh Token BCA (One Time Password).
“Akses MyBCA melalui aplikasi di ponsel juga relatif aman. Karena setiap kali ponsel baru mengakses MyBCA harus melalui veirfikasi tambahan dari BCA,” ucap Alfons.
Selanjutnya: Bagaimana solusinya?...
Bagaimana solusinya?
Adapun hal yang perlu dilakukan, Alfons menyarankan, agar pengguna layanan MyBCA segera mengganti password MyBCA. Tujuannya untuk mengantisipasi database kredensial MyBCA bocor.
Sebagai catatan, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil dikopi. Namun, jika klaim peretas ini benar bahwa ia memiliki akses tersembunyi terhadap sistem bank, atau akses orang dalam maka penggantian password ini tidak akan efektif dan password yang diganti tetap akan diketahui oleh peretas.
“Tim IT BCA segera investigasi sebenarnya apa yang terjadi dan segera melakukan mitigasinya,” kata Alfons.
Bagaiman tanggapan BCA?
Belakangan, BCA buka suara soal kabar adanya jasa login ke akun MyBCA siap apun hanya bermodalkan nama dan nomor rekening. “Aplikasi mobile dan website MyBCA hanya dapat diakses nasabah dengan menggunakan BCA ID dan password yang dibuat dan diketahui oleh nasabah sendiri,” ujar pihak BCA lewat keterangan tertulis dikutip Sabtu.
Menurut BCA, untuk melakukan transaksi finansial di aplikasi mobile MyBCA, nasabah harus memasukkan PIN yang hanya diketahui oleh nasabah. Adapun untuk melakukan transaksi finansial di website MyBCA, nasabah harus memasukkan One Time Password (OTP) dari token KeyBCA.
“Hingga saat ini tidak ada nasabah yang mengalami kerugian finansial di tengah ramainya informasi hoaks dan klaim oleh pihak-pihak yang tidak bertanggung jawab,” kata BCA.
