Bahaya Mengintai di Balik "Direct Debit" LinkAja-KAI Access

Bahaya "Direct Debit" 

Saya kemudian mengejar penjelasan kepada @KAI121 dan jawabannya mengarah kepada aplikasi KAI Access. Dijelaskan bahwa akun KAIAcces saya terhubung dengan akun LinkAja melalui fitur "direct debit". Tentang hal ini saya sudah tahu sebelumnya.

Lebih jauh lagi KAI menyebutkan bahwa pembayaran dengan cara memotong saldo LinkAja akan terjadi otomatis jika seseorang memesan tiket kereta api dari akun saya. Namun, bagaimana itu bisa dilakukan? Sedangkan saya tidak pernah mengakses akun KAI Access dan Link Aja saya dari perangkat lain?

Laporan kejadian berkurang saldo LinkAja saya yang disebutkan untuk membayar tiket kereta api di KAI Access (dok. pri).

Di sisi lain KAI  meminta saya menyebutkan detail tiket perjalanan yang dibayar dengan saldo LinkAja tersebut. Bagi saya ini cukup aneh. Bagaimana saya bisa tahu tentang tiket yang tidak saya pesan? Justru menjadi tanggung jawab KAI dan LinkAja untuk menjelaskan bagaimana bisa ada pemesanan tiket dengan memotong saldo LinkAja untuk transaksi yang tidak jelas.

Di sinilah tampaknya terkuak masalah serius dari "kolaborasi" antara KAI Access dan LinkAja bahwa sekali pengguna melakukan pembayaran dengan LinkAja, maka selanjutnya dompet digital LinkAja akan bisa diakses dan digunakan saldonya tanpa harus memasukkan nomor PIN atau OTP. 

Ini adalah celah yang sangat mengkhawatirkan karena fitur "direct debit" dari KAI Acces bisa mengakses langsung dompet digital LinkAja milik penggunanya. Dengan demikian jika akun KAI Acces seseorang dibobol, maka dompet digital LinkAja miliknya juga bisa dibobol sekaligus. 

Saya tidak mengerti mengapa KAI menerapkan aktivasi "direct debit" LinkAja secara otomatis. Padahal hal itu memperbesar risiko ketidakamanan yang mengintai konsumen.

Harus Diperbaiki

KAI dan LinkAja tampaknya perlu segera mengubah dan memperbaiki "direct debit" yang mereka terapkan saat ini. Sistem "direct debit" ala KAI Access dan LinkAja tidak lazim karena tidak menyertakan instrumen pelindung seperti PIN. Bandingkan dengan pembayaran dengan Go-Pay di aplikasi tiket.com atau pembayaran uang elektronik lainnya yang tetap mengharuskan penggunanya memasukkan PIN atau verifikasi OTP setiap kali hendak melakukan pembayaran.

Selain itu, pengguna juga harus diberi opsi untuk mengatur kapan akan mengaktifkan atau menonaktifkan "direct debit". Saat ini pengguna KAI Access tidak diberikan opsi dan keleluasaan untuk menonaktifkan sendiri fitur "direct debit" melalui aplikasi. Untuk memutus hubungan antara dompet LinkAja dan KAI Access saya harus mengirimkan data diri, identitas, nomor telepon dan nomor dompet digital LinkAja melalui DM twitter. Di sini lagi-lagi terjadi peningkatanan risiko yang mengancam konsumen terkait pemberian informasi-informasi penting.