2 months ago
3 mins read

Kebocoran Data Pemegang Kartu Kredit Salah Satu Bank BUMN

Alfons Tanujaya. (Foto: Istimewa)

JAKARTA – Bulan Desember tahun 2024 ditutup dengan pengumuman Ransomware Bashe yang pada pertengahan Desember mengklaim salah satu bank BUMN yang masuk dalam jajaran 5 besar mengalami kebocoran data dan memberikan waktu sampai 23 Desember 2024 untuk membayar uang tebusan 5 bitcoin atau sekitar Rp. 7,6 milyar rupiah atau data tersebut dijual ke pihak ketiga. (lihat gambar 1)

Gambar 1, Klaim Bashe atas bocornya data salah satu bank BUMN

Kontan bank yang dimaksud memberikan klarifikasi karena hal tersebut menimbulkan kekhawatiran dari pemegang rekening bank.

<<Awal Press Release bank>> (Nama Bank sudah diganti dengan ABC)

Press Release ABC bahwa

Sistem dan Transaksi ABC Berjalan Normal dan Keamanan Data Terjaga

Yth. Nasabah ABC
Sehubungan dengan beredarnya informasi mengenai kebocoran data ABC, kami sampaikan hal-hal sebagai berikut.
1. Kami memastikan bahwa saat ini data maupun dana nasabah aman. Seluruh sistem perbankan ABC berjalan normal dan seluruh layanan transaksi kami dapat beroperasi dengan lancar.
2. Nasabah tetap dapat menggunakan seluruh sistem layanan perbankan ABC, termasuk layanan perbankan digital seperti ABCmo, QLola, ATM / CRM, dan layanan ABC lainnya seperti biasa dengan keamanan data yang terjaga.
3. ABC menegaskan bahwa sistem keamanan teknologi informasi yang dimiliki ABC telah memenuhi standar internasional dan terus diperbarui secara berkala untuk menghadapi berbagai potensi ancaman. Langkah-langkah proaktif dilakukan untuk memastikan bahwa informasi nasabah tetap terlindungi.

<<Akhir Press Release Bank>>

Bashe juga memberikan sampel bukti data yang dimaksudkan di situsnya di darkweb dan setelah Vaksincom lakukan pengecekan sampel tersebut, data yang diberikan adalah VALID dan bukan data yang direkayasa. (lihat gambar 2)

Gambar 2, Pengecekan Vaksincom atas validitas data

Serangan Buzzer dan Keraguan Pers

Banyak rekan Pers yang ragu-ragu menginformasikan berita ini karena bank tersebut merupakan salah satu bank terbesar di Indonesia dan merupakan pengiklan besar dan mungkin khawatir jika informasi ini ditayangkan akan mempengaruhi pendapatan iklan.

Terlihat juga usaha orkestrasi pihak tertentu untuk menyerang dan mendegradasi konten yang menginformasikan hal ini dengan menyerang menggunakan akun yang disinyalir buzzer.

Harusnya masalah sekuriti diatasi dengan disiplin sekuriti, kelemahan dalam sekuriti diatasi dengan memperbaiki diri, belajar dari insiden dan memperbaiki pengelolaan sekuriti. Bukannya dengan membatasi informasi yang merupakan hak masyarakat atau malah mengerahkan buzzer untuk menyerang dan memanipulasi fakta.

Pihak Pers juga diharapkan tetap memiliki idealisme karena pada dasarnya Pers bertanggung jawab memberikan informasi yang benar dan akurat kepada masyarakat dan harusnya ada independensi redaksi pembuat berita tanpa perlu khawatir tekanan dari sisi bisnis.

Akibat Kebocoran Data

Harusnya bank yang bersangkutan berterimakasih kepada pihak yang peduli dan menginformasikan adanya kebocoran data, menyelidiki apakah benar data tersebut bocor dan bukan serta merta menyerang dan menyatakan informasi tersebut adalah Hoax. Kalau tidak mengevaluasi diri dan memperbaiki diri, maka dimasa depan data yang dikelolanya pasti akan kembali bocor kembali.

Sekalipun bank mendapat malu, jangan merasa sebagai pihak yang paling menderita atau dirugikan. Karena sejatinya pihak yang paling menderita dan dirugikan dalam hal ini adalah pemilik data, alias nasabah kartu kredit dari data yang bocor ini. Sebagai gambaran beberapa informasi kritis yang akan sangat merugikan pemilik data disini adalah :

  • Nama Lengkap
  • Tanggal lahir
  • Nomor HP
  • Nomor kartu kredit
  • Nama Gadis Ibu Kandung
  • Perusahaan
  • Alamat Lengkap Perusahaan

Jadi sekalipun pemegang kartu kredit tersebut sudah diganti nomor kartu kreditnya supaya tidak di Fraud atau katakan pemegang kartu memutuskan untuk menggunakan kartu kredit dari bank lain. Namun data yang bocor seperti Nama Lengkap, Tanggal Lahir, Nama Gadis Ibu Kandung, Nama Perusahaan tempat bekerja adalah data yang melekat pada pemegang kartu dan mustahil (sangat sulit) untuk diganti. Dan penipu dengan mudah memanfaatkan data yang bocor ini untuk aktivitas eksploitasi pemilik data yang bocor.

Apakah data bocor dari server Bank ?

Jika melihat struktur data yang dibocorkan oleh Bashe, data yang diberikan sudah tersusun dengan rapih (gambar 2) dan berbeda dengan struktur data salah satu bank digital yang juga bocor dan diunduh langsung dari server (lihat gambar 3). Selain itu pada ada kolom dengan nama “approve” yang mencantumkan nama bank pengelola data dan menunjukkan indikasi bahwa data tersebut kemungkinan besar memang milik bank yang bersangkutan dan dikelola oleh pihak ketiga.

Gambar 3, Sampel data bank digital yang juga bocor dan dibagikan Bashe

Maka dapat disimpulkan kemungkinan besar data bank ABC yang bocor tersebut kemungkinan besar bukan bocor dari server database bank. Dan kebocoran data ini juga tidak terbukti mengakibatkan gangguan yang berarti pada layanan bank tersebut.

Namun hal ini bukan berarti bahwa data yang bocor tersebut bukan merupakan tanggung jawab bank dan bank bisa lepas tangan “jika” data tersebut bocor bukan dari server database bank. Karena bank yang mengumpulkan dan mengelola data nasabah berarti bank harus bertanggung jawab atas keamanan data tersebut.

Jika bank ceroboh dalam memilih vendor pengelola data dan vendor tersebut diberikan data yang sedemikian penting, kemudian data tersebut bocor. Apakah bank bisa lepas tangan dan dengan mengatakan kalau kebocoran bukan dari database bank lalu ini bukan salah bank ?

Pelanggaran UU PDP

Sesuai ketentuan dalam UU PDP, dalam kebocoran data ini, pihak bank selaku Pengendali Data Pribadi memiliki kewajiban melindungi dan memastikan keamanan Data Pribadi yang diprosesnya (Pasal 27) dan Pengendali Data Pribadi wajib melakukan pengawasan terhadap setiap pihak yang terlibat dalam pemrosesan Data Pribadi (Pasal 28)

Selain itu, jika terjadi kebocoran data, Pengendali Data Pribadi memiliki kewajiban menginformasikan kepada pemilik data, KEmenterian dan masyarakat umum seperti yang tertuang pada pasal 40.

Pasal 40

(1) Dalam hal terjadi kegagalan pelindungan Data Pribadi, Pengendali Data Pribadi wajib menyampaikan pemberitahuan secara tertulis dalam waktu paling lambat 3 x 24 (tiga kali dua puluh empat) jam kepada:

  1. Pemilik Data Pribadi; dan
  2. Menteri.

(2) Pemberitahuan tertulis sebagaimana dimaksud pada ayat (1) mengenai:

  1. Data Pribadi yang terungkap;
  2. kapan dan bagaimana Data Pribadi terungkap; dan
  3. upaya penanganan dan pemulihan atas terungkapnya Data Pribadi oleh Pengendali Data Pribadi.

(3) Dalam hal tertentu Pengendali Data Pribadi wajib memberitahukan kepada masyarakat mengenai kegagalan pelindungan Data Pribadi.

Semoga hal ini bisa dijadikan sebagai pelajaran dan evaluasi bagi semua pihak yang mengelola data dan selalu belajar dari setiap kebocoran data untuk melakukan evaluasi melakukan pengelolaan yang lebih baik. Bukannya berusaha membungkam informasi kebocoran data, mengerahkan buzzer dan memberikan informasi bohong bahwa kebocoran data tidak terjadi.*

Alfons Tanujaya, Pengamat Keamanan Siber Vaksincom.

Komentar

Your email address will not be published.

Go toTop

Jangan Lewatkan

Tantangan Pembentukan Danantara sebagai ‘Holding’ BUMN

JAKARTA – Pendiri Inisiatif Sabri & Saudara (ISS), Miftah Sabri,

Ransomware Ganas 2024 dan Korbannya di Indonesia

JAKARTA – Ransomware secara de facto menjadi malware yang paling