Pakar Siber Soal Huru-Hara Jasa Akses ke Data MyBCA, Apa Resikonya?
.jpg)
Uzone.id – Pekan ini, kabar kebocoran data nasabah BCA terus menjadi perhatian banyak pihak, termasuk pakar siber. Tak sampai disitu, muncul pula penawaran jasa yang diajukan oleh seorang hacker di Breachforums pada Kamis (26/07).
Peretas dengan nama akun Black ini menawarkan jasa untuk login ke akun MyBCA bermodalkan nama nasabah dan nomor rekening mereka. Jasa tersebut dijual dengan harga USD500 atau sekitar Rp7,5 jutaan untuk sekali login.
Kok bisa para hacker ini mendapatkan akses ke akun-akun nasabah tersebut?
Menurut penuturan dari pakar siber Vaksincom, Alfons Tanujaya, peretas Black ini mengklaim kalau pihaknya menggunakan piranti lunak tersembunyi dan orang dalam untuk mengakses data ini.
Data rekening yang diakses peretas adalah data kredensial MyBCA dan para peretas ini kemungkinan memiliki cukup banyak database nasabah.
Beberapa yang dibocorkan antara lain informasi mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu dan semua informasi yang ada di akun myBCA.
“Sebagai catatan, data ini hanya bisa dilihat dan peretas tidak bisa melakukan transaksi karena dilindungi oleh TOTP Token One Time Password,” ujar Alfons dalam keterangan yang diterima Uzone.id, Jumat (28/7).
Soal keaslian data-data nasabah, Alfons menyebut adanya kecocokan dalam data-data tersebut.
“Awalnya Vaksincom memperkirakan bahwa data yang diberikan adalah data palsu, namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA,” tambahnya.
Salah satunya, adanya pengakuan salah satu nasabah yang belum pernah mengakses akun MyBCA semenjak 2022 dan akun tersebut ternyata bisa diakses dan ditampilkan oleh peretas.
Alfons juga mengungkap kemungkinan data-data tersebut bocor. Pertama, adanya celah pada keamanan sehingga hacker bisa memasukkan piranti lunak tersembunyi ke sistem sehingga bisa mengakses database bank.
“Kemungkinan kedua, database ini sebenarnya sudah bocor dan ada di tangan peretas dan peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut,” ujarnya.
Resiko dari kebocoran data ini cukup besar, namun di sisi lain, resiko transaksi ilegal termasuk pencurian dana relatif kecil.
“Resiko transaksi pencurian dana relatif kecil, karena meskipun bisa mengakses informasi rekening namun untuk transaksi myBCA melalui peramban HARUS diotorisasi oleh Token BCA (One Time Password),” tambah Alfons.
Begitupun dengan akses myBCA melalui aplikasi di ponsel yang juga relatif aman karena setiap kali ponsel baru mengakses MyBCA, mereka harus melakukan verifikasi tambahan dari BCA.
Pengguna dan nasabah BCA harus mengganti password MyBCA sesegera mungkin untuk mengantisipasi database kredensial myBCA bocor.
Related Article