Alfons Tanujaya, pakar keamanan siber Vaksincom, menjelaskan bagaimana cara peretas bisa mendapatkan data rekening nasabah MyBCA.
Pasalnya, seorang hacker dengan nama "Black"Â baru-baru ini muncul di Breachforums dan menawarkan layanan login akun myBCA dengan harga 500 USD, atau sekitar Rp7,5 juta.
Nama lengkap dan nomor rekening pemegang rekening adalah semua informasi yang diperlukan untuk mengakses rekening myBCA.
Baca:Â Indonesia Negara dengan Kebocoran Data Terbanyak Ke-3 di Dunia
Alfons menjelaskan bahwa ada dua kemungkinan bagaimana peretas dapat memperoleh data rekening BCA, yang akan digunakannya untuk membuka rekening myBCA klien.
Celah dalam Sistem
"Kemungkinan pertama ada celah keamanan, sehingga hacker bisa membobol software tersembunyi dan mengakses database bank." Kata pendiri Vaksincom pada Jumat (28/07/2023).
Selanjutnya, ada kemungkinan bahwa database akun BCA kedua bocor dan peretas mendapatkannya dari pihak ketiga yang memiliki akses ke database tersebut.
Dalam menanggapi masalah ini, Hera F. Haryn dari Departemen Corporate Communications and Social Responsibility BCA, ia menyatakan bahwa informasi yang disebutkan sebagai data BCA telah melewati proses verifikasi, dan ditemukan bahwa data yang bocor tidaklah sama dengan data sebenarnya.
Hera menyatakan, "Terkait dengan apa yang diyakini sebagai data BCA, setelah kami verifikasi dapat kami sampaikan bahwa data yang beredar berbeda dengan data yang dimiliki oleh BCA."
Konsekuensi Data Bocor
Apa konsekuensi dari bocornya data rekening BCA yang memungkinkan pencuri mengakses myBCA?
Pertama, dengan menggunakan kredensial yang bocor ini dapat digunakan untuk mengakses semua data akun myBCA melalui browser.
Alfons menyatakan bahwa meskipun kredensial yang sah telah bocor. Namun, data tersebut tidak dapat digunakan untuk masuk ke myBCA melalui aplikasi seluler.
Memang, untuk mengakses myBCA melalui aplikasi, Anda memerlukan kredensial dan verifikasi tambahan. Selain itu, Anda hanya dapat mengakses myBCA melalui ponsel yang telah diverifikasi.
Informasi rekening nasabah yang ditunjukkan ini tersimpan dalam myBCA, meskipun tidak dapat diakses melalui aplikasi.
Misalnya, ada transfer, riwayat transaksi rekening, daftar transfer, data kartu, dan semua informasi rekening myBCA.
Data ini sangat penting sehingga jika mereka bocor, pasti akan merugikan pemilik data, bukan uang mereka, tetapi privasi informasi keuangan mereka.
Risiko Pencurian Uang
Alfons menyatakan bahwa meskipun kredensial bocor, kemungkinan dana dicuri relatif rendah. Meskipun Anda dapat melihat informasi rekening, transaksi myBCA melalui browser hanya dapat dilakukan dengan token BCA (One Time Password).
Selain itu, mengakses melalui mobile app cukup aman karena setiap handphone baru yang digunakan untuk mengakses myBCA harus melalui proses verifikasi BCA tambahan. Nasabah BCA diminta untuk mengubah password mereka.
Apa yang perlu dilakukan konsumen? Alfons mengatakan bahwa pengguna layanan mBCA harus mengganti password myBCA segera.
Kata Sandi myBCA.
Untuk menghindari database kredensial myBCA yang bocor, perubahan kata sandi diperlukan untuk mengurangi jumlah kata sandi yang berhasil direplikasi dari database.
Namun, jika peretas benar mengklaim memiliki akses tersembunyi ke sistem bank atau akses internal, perubahan kata sandi tidak akan berdampak. Peretas akan tetap mengetahui kata sandi yang diubah.
Alfons juga menyarankan agar tim IT BCA segera melakukan investigasi untuk mengetahui apa yang sebenarnya terjadi dan menyelesaikannya segera.
