Pakar Keamanan Sebut Data MyBCA yang Dijual Valid, Tapi Peretas Tak Bisa Lakukan Transaksi

Liputan6.com, Jakarta - Beberapa hari belakangan, viral di media sosial adanya jasa untuk login ke akun MyBCA dari hacker yang mengaku menyimpan sejumlah data nama dan nomor rekening nasabah.

Jasa akses rekening BCA itu dijajakan oleh anggota Breachforums bernama Black, dengan harga mulai USD 500 atau sekitar Rp 7,5 juta, tergantung pada popularitas pemilik rekening dan saldo yang dimiliki.

Adapun data yang diperlukan untuk mendapatkan informasi akses rekening BCA melalui laman myBCA ini hanyalah nomor rekening dan nama pemilik rekening.

Meski begitu, data ini hanya bisa dilihat. Sang hackertidak bisa melakukan transaksi karena untuk transaksi diperlukan TOTP atau Token One Time Password.

Untuk membuktikan klaimnya, Black menyertakan 14 halaman screenshot sebagai bukti, ia punya akses atas sistem BCA.

Pengamat Keamanan Siber Alfons Tanujaya mulanya memperkirakan, data tersebut adalah data palsu. Namun, setelah dicek lebih jauh, data sampel screenshot yang diberikan Black bukanlah data palsu dan cocok dengan database BCA.

Pendiri Vaksincom ini pun menyebut ada sejumlah poin yang bisa diambil dari data yang disebarkan oleh Black.

"Data rekening-rekening myBCA yang diberikan valid dan memiliki kecocokan dengan data yang dikelola oleh bank," kata Alfons.

Poin kedua, dari data-data yang dijabarkan oleh Black, rupanya ada nasabah yang belum pernah mengakses akun MyBCA-nya sejak November 2022 dan akun tersebut berhasil diakses dan ditampilkan.

Selanjutnya, data yang berhasil diakses peretas merupakan data kredensial myBCA.

Alfons mengatakan, peretas mengklaim menggunakan peranti lunak tersembunyi pada sistem bank. "Jika klaim ini benar, ia memiliki akses trojan pada sistem bank," kata Alfons.

Lebih lanjut, Alfons juga mengatakan, ada kemungkinan bahwa peretas memiliki cukup banyak database kredensial myBCA.

Lantas apa risiko dari akses data rekening BCA yang dimiliki oleh hacker ini?

Ia menuturkan, kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun myBCA dari browser.

Namun, nasabah BCA tidak perlu terlalu panik. Pasalnya menurut pakar keamanan siber ini, meski data valid tetapi transaksi tidak bisa dilakukan tanpa verifikasi tambahan.

"Kredensial yang bocor meskipun valid, tetapi tidak bisa digunakan untuk mengakses myBCA dari aplikasi ponsel karena akses myBCA dari aplikasi, selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi," kata Alfons.

Alfons juga menyebut, informasi rekening nasabah yang bocor merupakan semua informasi yang terkandung di myBCA. Mulai dari mutasi rekening, histori transaksi rekening, data transfer, informasi kartu, dan semua informasi di akun myBCA.

Menurutnya risiko transaksi pencurian dana relatif kecil. Karena, meski bisa mengakses informasi rekening, untuk transaksi myBCA melalui peramban harus diotorisasi oleh Token BCA (OTP).

Ia juga menyebut, akses myBCA melalui aplikasi ponsel pun relatif aman. Karena, setiap kali ponsel baru mengakses myBCA, harus melalui verifikasi tambahan BCA.