TEMPO.CO, Jakarta - Data aplikasi PT Bank Central Asia Tbk, MyBCA dikabarkan bocor. Hal itu bermula dari threat actor (aktor ancaman) anggota BreachForums bernama Black yang menawarkan informasi akses pada akun myBCA. Serta menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Adapun data yang diperlukan untuk mendapatkan informasi itu hanya nomor rekening dan nama lengkap pemilik rekening. Black mengklaim melakukan itu dengan menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini.
Pengamat keamanan siber dari Vaksincom, Alfons Tanujaya awalnya memperkirakan bahwa data yang diberikan adalah data palsu. “Namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA,” ujar dia lewat keterangan tertulis dikutip Sabtu, 29 Juli 2023.
Bagaimana data bisa bocor?
Alfon mengungkap ada dua kemungkinan penyebab data akun MyBCA ini bocor. Pertama, adanya celah keamanan sehingga peretas (hacker) bisa memasukkan piranti lunak tersembunyi dan mengakses database bank.
“Kemungkinan kedua, database ini sebenarnya sudah bocor dan ada di tangan peretas dan peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut,” tutur Alfons.
Apa risiko data bocor?
Adapun risikonya, dia membeberkan, yakni kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun MyBCA dari peramban. Selanjutnya, meskipun valid tapi tidak bisa digunakan untuk mengakses MyBCA dari aplikasi smartphone.
“Karena akses MyBCA dari aplikasi selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi,” kata dia.
Risiko selanjutnya adalah informasi rekening nasabah yang bocor adalah semua informasi yang terkandung di MyBCA. Alfons mencontohkan seperti mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu dan semua informasi yang ada di akun MyBCA.
Sedangkan risiko transaksi pencurian dana menurut Alfons relatif kecil. Karena meskipun bisa mengakses informasi rekening namun untuk transaksi MyBCA melalui peramban harus diotorisasi oleh Token BCA (One Time Password).
“Akses MyBCA melalui aplikasi di ponsel juga relatif aman. Karena setiap kali ponsel baru mengakses MyBCA harus melalui veirfikasi tambahan dari BCA,” ucap Alfons.
Selanjutnya: Bagaimana solusinya?...
