Anton menilai, orang akan sulit mengaksesnya. Jika pun bisa mengakses password tersebut, harus ada HSM. Sehingga belum tentu bisa mencocokkan antara informasi yang didapatkan dengan apa yang ada di sisi bank.
“Jadi menurut saya sangat layering sekali pengamanannya dan sudah sangat rumit sehingga rasanya orang sangat sulit,” kata Anton.
Karena hal tersebut menjadi alasan kejahatan bersifat social engineering. Karena harus tahu lebih dulu mengenai data seperti password tadi yang hanya dimiliki nasabah. Bahkan untuk transaksi internet banking ada OTP.
“Kan pada saat transaksi nanti akan ada SMS itu masuk, dia masukin angkanya, baru bisa transaksi. Dan kita tidak ada laporan juga sepanjang case ini orang yang kehilangan uang,” tutur Anton.
Sebelumnya, LockBit yang mengaku penyebab gangguan yang dialami BSI pada 8 Mei 2023 itu menyebarkan data nasabah yang sudah dienkripsi di dark web. Kelompok tersebut mencuri dan mengenkripsi 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabita data internal milik BSI.
“Masa negosiasi telah berakhir, dan grup ransomware LockBit akhirnya mempublikasikan semua data yang dicuri dari Bank Syariah Indonesia di dark web,” cuit akun Twitter @darktracer_int dengan unggahan tangkapan layar mengenai data-data BSI dan imbauan LockBit kepada nasabah pagi tadi.
Berbagai macam data terlihat dalam unggahan tersebut, mulai dari data retail banking hingga perpanjangan sewa ATM pelita insani. Semuanya berkas data itu bertanggal 8 Mei 2023 mulai dari pukul 11.25 hingga 12.03. Tanggal tersebut merupakan waktu di mana mulainya sistem BSI terganggu. Namun, ada satu berkas yang memiliki tanggal 15 Mei 2023 pukul 20.50. Nama berkasnya Databases.
Pakar keamanan siber dan forensik digital dari Vaksincom, Alfons Tanujaya menjelaskan adanya potensi efek domino dari bocornya data nasabah milik BSI. “Data yang disebar tentu akan dimanfaatkan untuk aktivitas jahat seperti scamming, phishing, atau target serangan,” kata dia.
Menurut Alfons, data rekening yang bocor juga dapat memberikan informasi mengenai pemegang rekening, dan berpotensi merugikan pemilik rekening. Namun, data mutasi di sistem bank kemungkinan besar relatif aman meskipun tidak ada jaminan 100 persen aman.
“Karena kita tidak tahu apa saja yang sudah dilakukan oleh peretas ketika masuk ke dalam sistem,” tutur Alfons.
Dia juga memastikan bahwa pihaknya sudah mengecek data BSI yang dibocorkan di dark web. “Datanya valid, kami sudah cek nomor rekening dan nama pemegang rekening yang diberikan oleh Lockbit itu memang benar nomor rekening dan customer BSI,” ucap dia.
Pilihan editor: LockBit Bocorkan Data Nasabah di Dark Web, BSI: Itu Bukan Data Sensitif
Ikuti berita terkini dari Tempo di Google News, klik di sini