BCA Bantah Data yang Dimiliki Hacker untuk Mengakses myBCA Sama dengan Data Milik BCA

Liputan6.com, Jakarta - Pakar keamanan siber Alfons Tanujaya menyebut data rekening BCA yang dimiliki oleh aktor ancaman online Black untuk mengakses myBCA bersifat valid.

Kesimpulan ini didapatkan Alfons setelah memeriksa lebih lanjut sampel data yang diberikan oleh Black, ternyata memiliki kecocokan dengan database rekening BCA.

BCA pun membantah kalau data yang dimiliki aktor ancaman Black untuk mengakses layanan myBCA sama dengan data milik mereka.

Melalui keterangan resmi yang diterima Tekno Liputan6.com, Jumat (28/7/2023), Corporate Communications and Social Responsibility BCA Hera F. Haryn mengatakan, pihaknya telah melakukan pengecekan.

"Informasi yang diklaim sebagai data dari BCA, setelah kami lakukan pengecekan, dapat kami sampaikan bahwa data yang diklaim beredar tersebut berbeda dengan data yang dimiliki oleh BCA," kata Hera.

Menyoal akses ke layanan myBCA yang menurut Black bisa dilakukannya karena memiliki data nama dan nomor rekening BCA nasabah, Harin menyebut baik aplikasi maupun website myBCA hanya bisa diakses nasabah.

"Aplikasi mobile dan website myBCA hanya dapat diakses nasabah dengan menggunakan BCA ID dan password yang dibuat dan diketahui oleh nasabah sendiri," kata dia.

Lebih lanjut dikatakan pula, untuk melakukan transaksi finansial di aplikasi mobile myBCA, nasabah perlu memasukkan PIN yang hanya diketahui oleh nasabah.

Sementara, transaksi finansial di website myBCA juga perlu diotorisasi dengan One Time Password dari token KeyBCA.

BCA juga mengklaim, hingga saat ini tidak ada nasabah yang melaporkan mengalami kerugian finansial di tengah ramainya informasi dan klaim oleh pihak-pihak yang tidak bertanggung jawab.

BCA pun menegaskan, mereka selalu melakukan pengamanan data dengan menerapkan strategi dan standar keamanan berlapis serta mitigasi risiko guna menjaga keamanan dan transaksi digital nasabah.

Sebelumnya, viral di media sosial adanya jasa untuk login ke akun MyBCA dari hacker yang mengaku menyimpan sejumlah data nama dan nomor rekening nasabah.

Jasa akses rekening BCA itu dijajakan oleh anggota Breachforums bernama Black, dengan harga mulai USD 500 atau sekitar Rp 7,5 juta, tergantung pada popularitas pemilik rekening dan saldo yang dimiliki.

Adapun data yang diperlukan untuk mendapatkan informasi akses rekening BCA melalui laman myBCA ini hanyalah nomor rekening dan nama pemilik rekening.

Meski begitu, data ini hanya bisa dilihat. Sang hackertidak bisa melakukan transaksi karena untuk transaksi diperlukan TOTP atau Token One Time Password.

Untuk membuktikan klaimnya, Black menyertakan 14 halaman screenshot sebagai bukti, ia punya akses atas sistem BCA.

Pengamat Keamanan Siber Alfons Tanujaya mulanya memperkirakan, data tersebut adalah data palsu. Namun, setelah dicek lebih jauh, data sampel screenshot yang diberikan Black bukanlah data palsu dan cocok dengan database BCA.

Pendiri Vaksincom ini menuturkan, kredensial yang bocor bisa digunakan untuk mengakses semua informasi akun myBCA dari browser.

Namun, nasabah BCA tidak perlu terlalu panik. Pasalnya menurut pakar keamanan siber ini, meski data valid tetapi transaksi tidak bisa dilakukan tanpa verifikasi tambahan.

"Kredensial yang bocor meskipun valid, tetapi tidak bisa digunakan untuk mengakses myBCA dari aplikasi ponsel karena akses myBCA dari aplikasi, selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi," kata Alfons.

Alfons juga menyebut, informasi rekening nasabah yang bocor merupakan semua informasi yang terkandung di myBCA. Mulai dari mutasi rekening, histori transaksi rekening, data transfer, informasi kartu, dan semua informasi di akun myBCA.

Menurutnya risiko transaksi pencurian dana relatif kecil. Karena, meski bisa mengakses informasi rekening, untuk transaksi myBCA melalui peramban harus diotorisasi oleh Token BCA (OTP).

Ia juga menyebut, akses myBCA melalui aplikasi ponsel pun relatif aman. Karena, setiap kali ponsel baru mengakses myBCA, harus melalui verifikasi tambahan BCA.