Ternyata Hacker Pakai Cara Ini untuk Dapatkan Data Akun myBCA yang Dijual di Forum

Liputan6.com, Jakarta - Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, mengungkap bagaimana kemungkinan data rekening BCA didapatkan oleh hacker.

Pasalnya, baru-baru ini, ada threat actor dengan username Black di Breachforums yang menjajakan jasa masuk ke akun myBCA dengan harga mulai USD 500 atau sekitar Rp 7,5 juta.

Adapun data yang diperlukan untuk mendapatkan informasi masuk ke akun myBCA hanyalah nomor rekening dan nama lengkap pemilik rekening.

Alfons mengungkap, ada dua kemungkinan si hacker bisa mendapatkan data akun rekening BCA dipakainya untuk membuka akun myBCA milik nasabah.

Pertama dengan memanfaatkan celah keamanan pada sistem.

"Kemungkinan pertama adalah ada celah keamanan, sehingga peretas bisa memasukkan piranti lunak tersembunyi dan mengakses database bank," kata pendiri Vaksincom ini, sebagaimana dikutip dari keterangan yang diterima Tekno Liputan6.com, Jumat (28/7/2023).

Lalu, kemungkinan kedua, database rekening BCA itu sudah bocor, selanjutnya, peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut.

Pihak BCA melalui Corporate Communications and Social Responsibility BCA Hera F Haryn, menanggapi hal ini dengan menyebut informasi yang diklaim sebagai data dari BCA setelah dicek berbeda dengan data milik BCA. 

"Adapun informasi yang diklaim sebagai data dari BCA, setelah kami lakukan pengecekan dapat kami sampaikan bahwa data yang diklaim beredar tersebut berbeda dengan data yang dimiliki oleh BCA," kata Hera, dalam pernyataan. 

Lantas, apa resiko dari kebocoran data rekening BCA yang memungkinkan hacker untuk mengakses myBCA?

Pertama, kredensial yang bocor ini bisa dipakai untuk mengakses semua informasi akun myBCA dari peramban.

Namun, menurut Alfons, meski ada kredensial yang bocor dan sifatnya valid tetapi tidak bisa digunakan untuk mengakses myBCA dari aplikasi ponsel.

Pasalnya, akses myBCA dari aplikasi, selain membutuhkan kredensial juga butuh verifikasi tambahan. Selain itu, hanya bisa diakses dari ponsel yang terverifikasi.

Walaupun tidak bisa diakses dari aplikasi, namun informasi rekening nasabah yang bocor ini merupakan semua informasi yang terkandung di myBCA.

Misalnya ada mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu, hingga semua informasi yang ada di akun myBCA.

Informasi-informasi ini sifatnya cukup penting, jadi kalau bocor tentu merugikan pemilik data, bukan secara finansial tapi dari kerahasiaan informasi finansial.

Alfons mengungkap, meski kredensial bocor, risiko transaksi pencurian dana relatif kecil. Pasalnya, meski bisa mengakses informasi rekening, untuk transaksi myBCA melalui browser harus diotorisasi dengan Token BCA (One Time Password).

Selain itu, akses myBCA melalui aplikasi ponsel juga relatif aman karena setiap kali ponsel baru mengakses myBCA, harus melalui verifikasi tambahan dari BCA.

Nasabah BCA Diajak Ganti Password MyBCA

Apa yang perlu dilakukan nasabah? Pengguna layanan mBCA menurut Alfons perlu segera mengganti password myBCA-nya.

Hal ini untuk mengantisipasi database kredensial myBCA yang bocor. Namun perlu dicatat, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil dikopi.

Namun, jika klaim peretas ini benar, bahwa ia memiliki akses tersembunyi terhadap sistem bank atau memiliki akses orang dalam, penggantian password ini tidak akan efektif. Password yang diganti pun akan tetap diketahui peretas.

Selain itu, dari sisi BCA, Alfons menyarankan agar tim IT BCA segera investigasi untuk mengetahui apa yang sebenarnya terjadi dan segera melakukan mitigasinya.