Jakarta, Gizmologi – Belakangan ini viral di media sosial, sebuah jasa untuk login dan memiliki akses ke akun rekening myBCA. Terkait hal tersebut pihak BCA akhirnya buka suara dan menjamin akses rekening maupun akun hanya bisa dilakukan oleh nasabah yang bersangkutan.
Seperti diketahui tawaran untuk akses rekening ini dijual dengan harga mulai dari USD 500 atau sekitar Rp7,5 juta di website BreachForums. Adapun data yang diperlukan untuk mendapatkan informasi ini hanya nomor rekening dan nama lengkap pemilik rekening.
“Dapat kami sampaikan bahwa di aplikasi mobile myBCA akses hanya dapat dilakukan dengan menggunakan BCA ID dan password yang dibuat oleh nasabah sendiri. Transaksi finansial hanya dapat dilakukan dengan PIN yang hanya diketahui oleh nasabah,” beber Hera Haryn, EVP Corporate Communication & Social Responsibility dalam keterangannya, Minggu (30/7/2023).
Lebih lanjut, Hera juga mengingatkan jangan pernah nasabah membagikan data pribadi perbankan yang bersifat rahasia seperti BCA ID, password, maupun nomor kartu ATM, hingga PIN kepada siapapun. Mengingat transaksi finansial hanya dapat dilakukan dengan OTP (One Time Password) dari token KeyBCA.
“Oleh karena itu, maka BCA senantiasa mengimbau nasabah setia untuk selalu berhati-hati terhadap oknum yang mengatasnamakan BCA dan berbagai modus penipuan yang bertujuan untuk mengetahui data nasabah,” paparnya.
Di sisi lain, praktisi keamanan siber dari Vaksincom, Alfons Tanujaya turut menanggapi soal threat actor (aktor ancaman) dari seseorang yang menawarkan informasi akses pada akun myBCA. Dikhawatirkan klaim tersebut menggunakan piranti lunak tersembunyi maupun orang dalam untuk mengakses data tersebut.
Enggan disangka klaim sepihak, akun BreachForum dengan mana Black itu menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA. “Black memiliki reputasi cukup terpercaya di forum tersebut,” ujar Alfons.
Baca Juga: BCA Klarifikasi Isu Kebocoran 6,4 Juta Data Nasabah Kartu Kredit
Jasa Login Akun MyBCA
Adapun data yang diperlukan untuk mendapatkan informasi itu hanya nomor rekening dan nama lengkap pemilik rekening. Pada awalnya, Alfone menjelaskan, Vaksincom memperkirakan bahwa data yang diberikan adalah data palsu.
“Namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA,” ucap Alfons.
Terkait kejadian itu, Alfons melihat ada dua kemungkinan data akun myBCA bisa diakses pihak lain. Besar kemungkinan pertama adalah adanya celah keamanan sehingga peretas bisa memasukkan piranti lunak tersembunyi dan mengakses database bank.
Kemungkinan kedua adalah database ini sebenarnya sudah bocor dan ada di tangan peretas, dan peretas mendapatkan dari pihak ketiga yang memiliki akses. Sebab, akses myBCA dari apps selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi,” imbuhnya.
Kepada nasabah BCA, Alfons menyarankan untuk segera mengganti password myBCA. Hal iIni untuk mengantisipasi database kredensial myBCA bocor. Ia memberi catatan, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil dikopi.
Namun jika klaim peretas ini benar bahwa ia memiliki akses tersembunyi terhadap sistem bank, atau memiliki akses orang dalam maka penggantian password ini tidak akan efektif dan password yang diganti tetap akan diketahui oleh peretas. Alfons juga memiliki saran bagi Tim IT BCA untuk segera menginvestigasi sebenarnya apa yang terjadi dan segera melakukan mitigasinya.
Eksplorasi konten lain dari Gizmologi.id
Berlangganan untuk dapatkan pos terbaru lewat email.
