Data nasabah BSI yang dicuri LockBit dipastikan valid. Kelompok peretas itu memberi tenggat pembayaran tebusan pagi ini.
Ancaman kebocoran data nasabah PT Bank Syariah Indonesia Tbk (BSI) di situs gelap alias dark web kian nyata setelah bank itu diduga kuat terkena serangan ransomware pada Senin hingga Jumat pekan lalu. Hal itu merujuk pada data yang dirilis grup peretas asal Rusia, LockBit, yang mengklaim bertanggung jawab atas serangan ransomware terhadap bank syariah terbesar di Indonesia tersebut.
Dalam situs webnya, LockBit menyebutkan telah menguasai data yang berisi informasi pribadi lebih dari 15 juta nasabah, dokumen finansial, dokumen legal, perjanjian kerahasiaan atau non-disclosure agreement, serta kata kunci untuk mengakses Internet dan layanan perbankan yang digunakan. Adapun data nasabah yang bocor itu, antara lain, adalah nama, nomor telepon seluler, alamat, profesi, saldo rekening rata-rata, riwayat transaksi, tanggal pembukaan rekening, serta informasi pekerjaan.
Dalam rilisnya, LockBit turut mengunggah 27 gambar tangkapan layar atau screen capture yang menampilkan jendela atau tab berisikan sejumlah sampel data yang diklaim sebagai data nasabah BSI. Tangkapan layar tersebut lengkap beserta direktori nama komputer hingga file lokasi data itu berada.
LockBit memberi tenggat hingga 15 Mei 2023 pukul 21:09:46 UTC atau hari ini, Selasa, 16 Mei 2023, pukul 04.09 WIB kepada manajemen BSI untuk menghubungi kontak yang diberikan dan membayar uang tebusan. Jika sampai batas waktu tersebut BSI tidak membayar tebusan, seluruh data yang ada akan dibocorkan di situs gelap.
Hasil Penelusuran Data Nasabah
Tempo mencoba menelusuri kebenaran data dan klaim yang diunggah LockBit. Secara acak, Tempo memilih data milik dua orang yang diduga nasabah BSI, yang dipublikasikan dalam tangkapan layar tersebut. Data tersebut adalah 10 digit nomor rekening, nama pemilik rekening, dan jenis tabungan yang dimiliki. Nasabah pertama berprofesi sebagai pelajar dengan saldo rata-rata Rp 425.134 dan nasabah kedua berprofesi sebagai karyawan swasta dengan saldo rata-rata Rp 813.627.
Tempo lalu mencocokkan data nomor rekening dan nama nasabah dengan yang tertera dalam verifikasi daftar transfer antarbank melalui aplikasi mobile banking bank lainnya. Hasilnya, terdapat kesamaan antara nama dan nomor rekening yang dipublikasikan LockBit serta nama dan nomor rekening pada aplikasi mobile banking. Hal itu menandakan bahwa data yang dipegang LockBit valid.
Tempo mencoba meminta konfirmasi mengenai temuan dan hasil penelusuran tersebut kepada manajemen BSI, termasuk meminta tanggapan tentang tindak lanjut dari ancaman LockBit. Namun, hingga berita ini ditulis, Tempo tidak menerima respons atau jawaban dari manajemen perseroan.
Sebelumnya, pada Ahad lalu, Komisaris Independen BSI, Komaruddin Hidayat, membenarkan kabar adanya serangan siber di BSI. Namun dia membantah serangan siber tersebut dari LockBit. “Itu kabar hoaks, sudah pulih dan yang pasti data serta uang nasabah aman,” ucapnya.
Direktur Utama BSI, Hery Gunardi, mengungkapkan seluruh layanan perbankan perseroan sudah berangsur normal dan pulih setelah dilakukan perbaikan serta pengamanan sistem. “Gangguan sudah dapat dipulihkan segera dan ini merupakan respons pemulihan yang baik. Prioritas utama kami, menjaga data dan dana nasabah."
Hery menambahkan, BSI juga terus memperkuat keamanan dan sistem teknologi perseroan dalam satu divisi khusus yang ditempatkan di bawah Chief Information and Security Officer (CISO). “Sistem ini kerjanya seperti satpam dari sisi teknologi. Dia akan melihat titik-titik kelemahan yang harus ditutup sebagai upaya melindungi data nasabah.”
Pakar IT
Sementara itu, sejumlah pakar teknologi informasi dan keamanan siber memastikan validitas data yang dirilis dan diklaim LockBit. Pakar keamanan siber dari Vaksincom, Alfons Tanujaya, menuturkan penelusuran dan pengujian data sebagaimana yang dilakukan Tempo menjadi bukti kuat bahwa telah terjadi peretasan data nasabah BSI oleh LockBit. “Jika dicoba melakukan transfer ke salah satu nomor rekening yang dipublikasikan di situs LockBit, lalu keluar nomor rekening dan nama nasabah yang sama, artinya data itu valid,” ucapnya.
Menurut Alfons, ada beberapa celah yang dapat menjadi pintu masuk serangan ransomware pada BSI. Salah satunya adalah terbukanya celah keamanan yang kemudian dimanfaatkan peretas untuk menyusup masuk. “Misalnya ada remote desktop yang tidak diamankan dengan baik, atau akses Intranet bank digunakan untuk mengakses Internet luar."
Sebab, pada dasarnya pelaku ransomware akan berusaha semaksimal mungkin mengenkripsi data penting, data cadangan, dan sistem yang bertujuan mengganggu jalannya perusahaan. Dengan demikian, ransomware akan mengunci data dan akses sehingga sistem operasional menjadi kacau.
Risiko kebocoran data itu pun, kata Alfons, tak dapat dihindari karena tak ada sistem yang mampu menarik kembali data yang telah bocor di dunia maya. “Di Internet itu ada hukum yang berbunyi: sekali data bocor, dia akan di sana selamanya. Jadi, tidak mungkin membatalkan data yang bocor. Salinannya sudah ada di mana-mana,” ucapnya.
Menurut Direktur Eksekutif Indonesia ICT Institute, Heru Sutadi, berdasarkan rekam jejaknya, LockBit merupakan grup peretas kenamaan berskala global dan lintas negara yang menjalankan bisnis ransomware as a service (RAAS). “Mereka menjadikan ransomware sebagai bisnis sehingga kemungkinan besar yang mereka sampaikan itu benar,” katanya. Guna memastikan serangan ransomware itu, ucap Heru, dibutuhkan verifikasi melalui audit digital forensik oleh bagian internal BSI.
Jika memang benar LockBit berada di balik serangan itu, kata Heru, perlu dilakukan negosiasi untuk mencegah kebocoran data direalisasi dan terjadi secara masif. “Tapi kalau memang manajemen bisa memastikan tidak terjadi serangan ransomware dari LockBit, ya, tidak perlu takut untuk tidak membayar tebusan.”
Biaya Tebusan LockBit
Heru mengimbuhkan, berdasarkan pengalaman aksi serangan ransomware, negosiasi dengan grup peretas seperti LockBit biasanya memerlukan dana tebusan yang tidak sedikit. “Untuk personal saja bisa US$ 1.000-2.000. Kalau perusahaan seperti BSI dengan jumlah nasabah 19-20 juta akun, tentu tebusan yang diminta bisa sampai miliaran rupiah.”
Menurut Heru, BSI perlu berkoordinasi dengan Kementerian Komunikasi dan Informatika, Badan Siber dan Sandi Negara, serta Otoritas Jasa Keuangan untuk memverifikasi dan mengevaluasi kasus yang terjadi. “Dalam praktik dan sejarahnya memang tidak ada satu pun lembaga penyelenggara sistem elektronik yang mengakui sistemnya diretas. Tidak ada yang benar-benar mengaku terkena ransomware,” ucapnya.
Hal itu kontradiktif dengan kewajiban penyampaian informasi yang transparan ke publik, yang menjadi syarat mutlak dalam Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi. “Padahal sudah jelas sistemnya bocor, walau tidak diakui. Tapi kemudian datanya kan disebar di dark web,” kata Heru. Dia mengatakan, sebagai langkah antisipatif, BSI seharusnya segera mengimbau nasabah untuk mengganti kata sandi dan menerapkan verifikasi ganda dalam setiap transaksi.
(Sumber: Koran Tempo)