Data Bank Syariah Indonesia Diduga Bocor, Pakar Imbau Nasabah Ganti Password dan Pin ATM

JAKARTA, KOMPAS.TV - Pakar keamanan siber Alfons Tanuwijaya mengimbau semua nasabah PT Bank Syariah Indonesia (BSI) untuk mengganti password maupun pin anjungan tunai mandiri (ATM) menyusul dugaan kebocoran data dalam sistem perbankan tersebut.

Alfons menyarankan agar para nasabah segera mengganti semua kredensial mobile banking, internet banking, dan pin ATM. 

“Harap semua karyawan, nasabah, dan pihak yang terafiliasi dengan bank menyadari hal ini dan mempersiapkan mitigasinya,” kata Alfons, Sabtu (13/5) dilansir dari Kompas.com. 

Ia menduga pencurian data BSI itu telah terjadi sejak libur Lebaran 2023 lalu. Pasalnya, pencurian data yang diklaim oleh kelompok peretas ransomware LockBit 3.0 sebesar 15 terabita itu memerlukan waktu yang cukup lama.

Meski gangguan sistem BSI terjadi pada Senin (8/5), Alfons menduga bahwa peretas telah melakukan aksinya sejak jauh hari sebelum waktu tersebut.

“8 Mei adalah saat semua data sudah berhasil di-copy (dicuri) dan aksi enkripsi dilakukan,” ujarnya.

Ia mengungkapkan, proses pencurian data membutuhkan waktu selama beberapa hari. 

Baca Juga: 15 Juta Data Bank Syariah Indonesia Diduga Diretas, Direktur Utama: Perlu Pembuktian

“Jika pencurian data dilakukan non-stop 24 jam saja dengan kecepatan 25 MBps, maka membutuhkan waktu 6 hari,” jelasnya.

Akan tetapi, sambung dia, jika pihak peretas melakukannya dengan hati-hati agar tidak dicurigai aksinya, maka diperkirakan waktu yang dibutuhkan adalah 12 hari.

“Jadi aksi peretasan diperkirakan terjadi sejak libur Lebaran,” katanya. 

Kemarin, Sabtu (13/5) akun pelacak peretasan di Twitter, @darktracer_int atau Fusion Intelligence Center membagikan pengumuman dari Lockbit 3.0 yang disebut sebagai geng ransomware.

Lockbit 3.0 mengaku telah mencuri 1,5 terabita data BSI yang terdiri dari nama, alamat, informasi dokumen, nomor kartu, nomor telepon, dan transaksi nasabah.

Data lain yang juga diklaim dicuri ialah dokumen keuangan, dokumen hukum, hingga kata sandi (password) untuk semua layanan internal dan eksternal yang digunakan di bank. 

Manajemen bank diberi waktu 72 jam untuk menghubungi LockbitSupp dan menyelesaikan urusan itu.

Dalam pengumuman itu, peretas mengancam akan menjual data yang telah dicuri ke situs gelap (dark web) jika manajemen tidak menghubungi dalam waktu 72 jam atau tiga hari.

Peretas juga mengancam bahwa data perusahaan akan dipublikasikan pada Senin, 15 Mei 2023, pukul 21.09 UTC atau Selasa, 16 Mei, pukul 04.09 WIB.

Baca Juga: Geger Klaim Lockbit 3.0, Dirut BSI Pastikan Data Nasabah Terlindungi

Menanggapi dugaan kebocoran data ini, Direktur Utama BSI Hery Gunardi menegaskan, pihaknya telah meningkatkan dan melakukan perbaikan pengamanan sistem teknologi informasi perseroan. 

Hal tersebut dilakukan berdasarkan pedoman dan standar yang ditetapkan. 
”Prioritas utama kami menjaga data dan dana nasabah,” ujarnya dilansir dari Kompas.id, Minggu (14/5).

BSI juga telah memperkuat keamanan teknologi perseroan di divisi khusus yang berada di bawah CISO (Chief Information and Security Officer). 

”CISO ini kerjanya sama seperti satpam fisik, melakukan ronda. Tapi, ronda dari sisi teknologi. CISO akan melihat titik-titik weak point yang harus ditutup. Itu adalah satu upaya untuk melindungi data nasabah,” ujarnya.

Laporan gangguan sistem elektronik BSI sudah diterima Badan Siber dan Sandi Negara (BSSN). 

Juru Bicara BSSN Ariandi Putra mengatakan, dari laporan yang diterima BSSN, data BSI sudah dapat dipulihkan pada 8 Mei pukul 10.00 WIB. Namun, untuk memenuhi aspek keamanan dilakukan penundaan aktivasi sampai 9 Mei 2023. 

Semua layanan perbankan perseroan, kata Ariandi, sudah berangsur normal dan pulih sejak Kamis (8/5/2023).

Senada, Kepala Eksekutif Pengawas Perbankan Otoritas Jasa Keuangan (OJK) Dian Ediana Rae juga menyatakan bahwa saat ini layanan BSI sudah berjalan normal secara bertahap melalui delivery channel yang tersedia. 

Tim pengawas dan pemeriksa teknologi informasi OJK terus melakukan komunikasi dan koordinasi untuk mengevaluasi sumber gangguan layanan yang dialami BSI. 

OJK juga meminta BSI untuk melakukan percepatan penyelesaian audit forensik yang saat ini sedang berjalan.