JAKARTA – Kelompok peretas (hacker), LockBit, yang mengaku menyerang sistem IT PT Bank Syariah Indonesia ( BSI ) kini menyebarkan data nasabah yang sudah dienkripsi di Dark Web. LockBit mengaku telah mencuri 15 juta data nasabah, informasi karyawan, dan sekitar 1,5 terabita data internal bak tersebut.
“Masa negosiasi telah berakhir, dan grup ransomware LockBit akhirnya mempublikasikan semua data yang dicuri dari Bank Syariah Indonesia di dark web,” cuit akun Twitter @darktracer_int dengan unggahan tangkapan layar mengenai data-data BSI dan imbauan LockBit kepada nasabah pada Selasa, 16 Mei 2023.
Berbagai macam data terlihat dalam unggahan tersebut, mulai dari data retail banking hingga perpanjangan sewa ATM pelita insani. Semuanya berkas data itu bertanggal 8 Mei 2023 mulai dari pukul 11.25 hingga 12.03. Tanggal tersebut merupakan waktu di mana mulainya sistem BSI terganggu.
Namun, ada satu berkas yang memiliki tanggal 15 Mei 2023 pukul 20.50. Artinya kemungkinan data tersebut baru didapatkan peretas tadi malam. Nama berkasnya Databases.
Selain itu, LockBit juga memberikan rekomendasi kepada seluruh nasabah BSI. Kelompok hacker tersebut menilai BSI tidak bertanggung jawab dan tidak mampu menjaga data-data nasabahnya.
Rekomendasi pertama, LockBit meminta agar nasabah berhenti menggunakan BSI karena tidak tahu bagaimana cara melindungi uang dan informasi pribadi dari penjahat. BSI bahkan tidak dapat menjalankan situs mereka dalam waktu seminggu.
“Hal terbaik yang bisa dilakukan oleh para penjahat kecil ini adalah berbohong kepada klien mereka, menghapus komentar di Twitter, dan membesarkan perut,” kata pihak LockBit.
Kedua, LockBit meminta kepada keluarga dan teman nasabah untuk berhenti menggunakan BSI. “Ini adalah poin yang sama pentingnya karena peringatan kami tentang ketidakbertanggungjawaban bank ini tidak akan sampai ke semua nasabah BSI,” ucap dia.
Ketiga, BSI harus memberikan kompensasi kepada nasabah atas masalah yang telah ditimbulkan. Selain itu jika ada data yang beredar, LockBit meminta agar nasabah pergi ke pengadilan dan mengajukan tuntutan hukum terhadap BSI.
LockBit menilai BSI melanggar undang-undang privasi data dengan membocorkan informasi dan membuat nasabah menunggu dan khawatir. “Padahal mereka bisa saja membayar kami dan itu akan berhasil pada hari yang sama,” tutur dia.
“Kami tidak mengungkapkan kerentanan dalam sistem BSI dan staf bank yang disusupi, jadi kami menyimpan sebagian kecil data yang paling menarik untuk diri kami sendiri untuk dieksploitasi. Sampai jumpa lagi,” kata LockBit. “Semua data yang tersedia dipublikasikan!”
Sebelumnya, LockBit mengancam akan merilis semua data di web gelap jika negosiasi dengan pihak BSI gagal. “Kami memberikan waktu 72 jam kepada manajemen bank untuk menghubungi LockbitSupp dan menyelesaikan masalah tersebut,” tulis LockBit dalam websitenya Sabtu, 13 Mei 2023.
Hingga saat ini, belum ada penjelasan secara resmi dari pihak BSI soal serangan tersebut. Hanya saja, Komisaris Independen BSI Komaruddin Hidayat mengonfirmasi adanya serangan siber sistem bank tersebut. Serangan tersebut berdampak pada sistem BSI yang mengalami gangguan mulai Senin, 8 Mei 2023.
Ihwal serangan ransomware yang terhadap sistem IT BSI, ia mengatakan memang ada sabotase terhadap bank syariah terbesar di Indonesia tersebut. Kendati demikian, menurutnya, manajemen sudah menurunkan tim ahli untuk menyelesaikan masalah ini.(SW)