Analisa Soal Data MyBCA Dijajakan di Breachforum
Seorang anggota Breachforums bernama Black yang memiliki reputasi cukup terpercaya di forum tersebut menawarkan informasi akses pada rekening BCA.
Akses rekening tersebut dijual dengan harga mulai dari USD 500 atau sekitar Rp 7,5 juta tergantung pada popularitas pemilik rekening dan saldo yang mereka miliki. Adapun data yang diperlukan untuk mendapatkan informasi ini hanya nomor rekening dan nama lengkap pemilik rekening.
Guna membuktikan klaimnya, Black menyertakan 14 halaman tangkapan layar sebagai bukti bahwa ia memiliki akses terhadap sistem BCA.
Black mengklaim ia menggunakan software tersembunyi dan orang dalam untuk mengakses data ini. Sebagai catatan, data ini hanya bisa dilihat dan peretas tidak bisa melakukan transaksi karena dilindungi oleh Token One Time Password (TOTP).
Pada awalnya Vaksincom memperkirakan bahwa data yang diberikan adalah data palsu, namun setelah melakukan pengecekan lebih jauh ternyata data sampel tangkapan layar yang diberikan oleh Black bukan data palsu dan memiliki kecocokan dengan database BCA.
Beberapa poin yang bisa diambil dari data yang disebarkan oleh Black adalah sebagai berikut :
- Data rekening2 myBCA yang diberikan valid dan dan memiliki kecocokan dengan data yang dikelola oleh bank.
- Ada nasabah yang belum pernah mengakses akun myBCAnya sejak November 2022 dan akun tersebut berhasil diakses dan ditampilkan.
- Data yang berhasil diakses peretas adalah data kredensial myBCA.
- Peretas mengklaim menggunakan piranti lunak tersembunyi pada sistem bank, jika klaim ini benar maka ia memiliki akses trojan pada sistem bank.
- Ada kemungkinan peretas memiliki cukup banyak database kredensial myBCA.
Ada dua kemungkinan data akun myBCA ini bocor. Kemungkinan pertama adalah ada celah keamanan sehingga peretas bisa memasukkan piranti lunak tersembunyi dan mengakses database bank. Kemungkinan kedua adalah database ini sebenarnya sudah bocor dan ada di tangan peretas dan peretas mendapatkan dari pihak ketiga yang memiliki akses tersebut.
Apa resikonya:
- Kredensial yang bocor bisa digunakan untuk mengakses SEMUA informasi akun myBCA dari peramban.
- Kredensial yang bocor, meskipun valid tetapi tidak bisa digunakan untuk mengakses myBCA dari apps/aplikasi ponsel karena akses myBCA dari aplikasi selain membutuhkan kredensial juga membutuhkan verifikasi tambahan dan hanya bisa diakses dari ponsel yang terverifikasi.
- Informasi rekening nasabah usng bocor adalah semua informasi yang terkandung di myBCA seperti mutasi rekening, histori transaksi rekening, daftar transfer, informasi kartu dan semua informasi yang ada di akun myBCA.
- Resiko transaksi pencurian dana relatif kecil, karena meskipun bisa mengakses informasi rekening namun untuk transaksi myBCA melalui peramban harus diotorisasi oleh Token BCA (One Time Password).
- Akses myBCA melalui apps di ponsel juga relatif aman karena setiap kali ponsel baru mengakses myBCA harus melalui veirfikasi tambahan dari BCA.
Apa yang harus dilakukan?
- Pengguna layanan myBCA segera mengganti password myBCA. Ini untuk mengantisipasi database kredensial myBCA bocor. Namun sebagai catatan, penggantian password ini hanya efektif untuk mitigasi kebocoran database password yang berhasil dikopi. Namun jika klaim peretas ini benar bahwa ia memiliki akses tersembunyi terhadap sistem bank, atau memiliki akses orang dalam maka penggantian password ini tidak akan efektif dan password yang diganti tetap akan diketahui oleh peretas.
- Tim IT BCA segera investigasi sebenarnya apa yang terjadi dan segera melakukan mitigasinya.
Simak Video "Langkah Awal Memudahkan Urusan Perbankan dari Genggaman"
[Gambas:Video 20detik]
(asj/asj)