TEMPO.CO, Jakarta - Direktur Penjualan dan Distribusi PT Bank Syariah Indonesia (Persero) Tbk atau BSI Anton Sukarna menjelaskan data yang bocor di internet bukan merupakan data yang sensitif dan bukan merupakan data inti dari BSI. Namun, dia tak menampik bahwa hal itu bisa memunculkan potensi serangan phising dan scamming terhadap nasabahnya.

Menurut Anton, serangan seperti phising dan scamming merupakan kejahatan perbankan yang umum. “Makanya kenapa kemudian kita kirimkan message ke customer terkait dengan jangan menyampaikan OTP (kode One Time-Password atau password sementara) yang Anda peroleh,” ujar dia di Kantor Tempo, Jakarta Barat, pada Kamis, 25 Mei 2023.

Anton menuturkan bahwa model pengamanan perbankan secara sederhana, setidaknya memiliki dua layer. Pertama, layer pengguna sebagai orang yang memiliki rekening, sedangkan layer kedua adalah dari sisi banknya.

Dia mencontohkan misalnya untuk transaksi mobile banking yang dilakukan pengguna. Dalam menggunakannya nasabah tentu membutuhkan password juga ID, bahkan ada yang sudah menggunakan sensor sidik jari atau finger print. “Selama itu tidak bocor, transaksi sebenarnya aman,” ucap dia.

Di sisi banknya juga sama, kata dia. Bank memiliki mekanisme yang berkaitan dengan password serta memiliki Hardware Security Module (HSM)—perangkat komputasi yang menghasilkan, mengakses, dan melindungi materi kunci kriptografi. Perangkat tersebut bisa mengenkripsi password.

Selanjutnya: Jika pun bisa mengakses password tersebut, harus ada HSM

<!--more-->

Anton menilai, orang akan sulit mengaksesnya. Jika pun bisa mengakses password tersebut, harus ada HSM. Sehingga belum tentu bisa mencocokkan antara informasi yang didapatkan dengan apa yang ada di sisi bank.

“Jadi menurut saya sangat layering sekali pengamanannya dan sudah sangat rumit sehingga rasanya orang sangat sulit,” kata Anton.

Karena hal tersebut menjadi alasan kejahatan bersifat social engineering. Karena harus tahu lebih dulu mengenai data seperti password tadi yang hanya dimiliki nasabah. Bahkan untuk transaksi internet banking ada OTP.

“Kan pada saat transaksi nanti akan ada SMS itu masuk, dia masukin angkanya, baru bisa transaksi. Dan kita tidak ada laporan juga sepanjang case ini orang yang kehilangan uang,” tutur Anton.

Sebelumnya, LockBit yang mengaku penyebab gangguan yang dialami BSI pada 8 Mei 2023 itu menyebarkan data nasabah yang sudah dienkripsi di dark web. Kelompok tersebut mencuri dan mengenkripsi 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabita data internal milik BSI.

“Masa negosiasi telah berakhir, dan grup ransomware LockBit akhirnya mempublikasikan semua data yang dicuri dari Bank Syariah Indonesia di dark web,” cuit akun Twitter @darktracer_int dengan unggahan tangkapan layar mengenai data-data BSI dan imbauan LockBit kepada nasabah pagi tadi.

Berbagai macam data terlihat dalam unggahan tersebut, mulai dari data retail banking hingga perpanjangan sewa ATM pelita insani. Semuanya berkas data itu bertanggal 8 Mei 2023 mulai dari pukul 11.25 hingga 12.03. Tanggal tersebut merupakan waktu di mana mulainya sistem BSI terganggu. Namun, ada satu berkas yang memiliki tanggal 15 Mei 2023 pukul 20.50. Nama berkasnya Databases.

Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya menjelaskan adanya potensi efek domino dari bocornya data nasabah milik BSI. “Data yang disebar tentu akan dimanfaatkan untuk aktivitas jahat seperti scamming, phishing, atau target serangan,” kata dia.

Menurut Alfons, data rekening yang bocor juga dapat memberikan informasi mengenai pemegang rekening, dan berpotensi merugikan pemilik rekening. Namun, data mutasi di sistem bank kemungkinan besar relatif aman meskipun tidak ada jaminan 100 persen aman.

“Karena kita tidak tahu apa saja yang sudah dilakukan oleh peretas ketika masuk ke dalam sistem,” tutur Alfons.

Dia juga memastikan bahwa pihaknya sudah mengecek data BSI yang dibocorkan di dark web. “Datanya valid, kami sudah cek nomor rekening dan nama pemegang rekening yang diberikan oleh Lockbit itu memang benar nomor rekening dan customer BSI,” ucap dia.

Pilihan editor: LockBit Bocorkan Data Nasabah di Dark Web, BSI: Itu Bukan Data Sensitif

Ikuti berita terkini dari Tempo di Google News, klik di sini