Sektor Perbankan Jadi Target Klaim Kebocoran Data Masif, BCA dan BNI Buka Suara
Dua bank terbesar di Indonesia, Bank Central Asia (BCA) dan Bank Negara Indonesia (BNI), menjadi sasaran klaim kebocoran data secara bersamaan pada pekan ketiga Mei 2026. Isu ini mencuat setelah akun pemantau jaringan internet gelap (dark web) melaporkan adanya data nasabah yang diklaim diperjualbelikan di forum bawah tanah. Merespons kondisi tersebut, kedua institusi perbankan langsung melakukan investigasi menyeluruh dan membantah keras adanya kebocoran dari arsitektur sistem internal mereka.

Fenomena ini tidak bisa dipandang sebelah mata dari sudut pandang tata kelola risiko teknologi informasi (TI). Dalam satu pekan yang sama, klaim kebocoran data juga menyasar Badan Siber dan Sandi Negara (BSSN), Dinas Kependudukan dan Pencatatan Sipil (Disdukcapil), Komisi Pemberantasan Korupsi (KPK), hingga Tentara Nasional Indonesia (TNI). Pola anomali ini mengindikasikan adanya kampanye serangan siber terkoordinasi (coordinated campaign) yang menargetkan berbagai institusi strategis Indonesia secara simultan.
Klaim Data BCA: 4,9 Juta Basis Data dan 890 Ribu Akses Mobile Banking
Pada Kamis, 21 Mei 2026, akun X @DailyDarkWeb mengunggah tangkapan layar (screenshot) forum internet gelap yang menampilkan tawaran kumpulan data (dataset) berjudul “BCA Mobile Bank Access & Database”. Pihak penjual data mengaku memiliki sekitar 890.000 akses akun dan 4,9 juta data basis data yang diduga berasal dari layanan perbankan bergerak (mobile banking) BCA. Data tersebut diklaim memuat informasi pribadi nasabah hingga kolom internal sistem.
Infografik: Klaim kebocoran data BCA, BNI, dan institusi strategis lainnya periode 18–25 Mei 2026. (Sumber: Kompas.com, Tempo.co, Bloomberg Technoz, Kontan.co.id)
Melansir laporan Kompas.com (21/5/2026), EVP Corporate Communication & Social Responsibility BCA, Hera F. Haryn, menegaskan bahwa hasil investigasi forensik internal tidak menemukan adanya kecocokan antara data yang beredar di ruang publik dengan basis data orisinil milik perusahaan.
“Kami telah melakukan investigasi menyeluruh dan memastikan tidak ada kebocoran data dari sistem BCA,” ujar Hera. Perseroan memastikan data nasabah tetap aman dan tidak ada indikasi kebocoran pada sistem TI perusahaan. Manajemen juga terus menerapkan strategi keamanan siber berlapis (defense-in-depth) serta langkah mitigasi risiko terintegrasi untuk menjaga integritas data dan transaksi digital nasabah.
Klaim Data BNI: 1,5 Terabita Diduga Terekspos
Tidak hanya BCA, Bank Negara Indonesia juga menjadi sasaran klaim pemerasan digital serupa. Akun @karsapolitik bersama jaringan kolaborasinya mengunggah informasi penjualan data nasabah BNI yang disebutkan berukuran hingga 1,5 terabita (TB). Unggahan tersebut menyertakan identitas korporasi BNI tanpa menyajikan bukti dokumen (sample data) yang konkret, melainkan hanya narasi spekulatif mengenai dampak negatif kebocoran data.
Corporate Secretary BNI, Okki Rushartomo, menyatakan bahwa tim IT Security BNI telah dikerahkan sejak awal untuk melakukan investigasi berkelanjutan dan pemantauan ketat. Melansir berita Kompas.com (23/5/2026), BNI tidak menemukan adanya indikasi pengambilan data nasabah secara tidak sah.
“Hingga saat ini, kami tidak menemukan indikasi adanya pengambilan maupun pemindahan data nasabah secara tidak sah,” tegas Okki. BNI memastikan seluruh layanan transaksi perbankan tetap beroperasi normal dan aman melalui aplikasi wondr by BNI, jaringan ATM, maupun kantor cabang fisik.
Mengapa Ini Penting untuk Tata Kelola Keamanan Siber Perusahaan?
Aspek krusial dari kasus ini bukan terletak pada validitas klaim kebocoran data tersebut, melainkan pada pola serangan (attack pattern) yang berhasil dideteksi oleh komunitas intelijen ancaman siber. Pada rentang 18–21 Mei 2026, setidaknya enam institusi strategis Indonesia menjadi sasaran klaim kebocoran secara simultan:
- BCA : dugaan kebocoran 4,9 juta data dan 890 ribu akses perbankan bergerak.
- BNI : dugaan kebocoran 1,5 TB data nasabah.
- BSSN : dugaan data internal Poltek SSN terekspos.
- Disdukcapil : klaim kebocoran data kependudukan nasional.
- KPK : klaim kebocoran data internal lembaga.
- TNI : klaim kebocoran data personel militer.
Pola simultan ini menunjukkan bahwa pelaku ancaman siber (threat actors) tengah menjalankan pendekatan terkoordinasi yang masif, bukan serangan acak (random attacks). Bagi tim keamanan informasi di institusi Indonesia, ini adalah sinyal peringatan kritis: arsitektur digital nasional tengah berada dalam radar target kelompok peretas global.
Respons OJK dan Analisis Kematangan TI Pihak Ketiga
Ketua Dewan Komisioner Otoritas Jasa Keuangan (OJK), Friderica Widyasari Dewi, mengingatkan masyarakat untuk terus meningkatkan disiplin perlindungan data pribadi. Melansir Tempo.co (25/5/2026), Friderica menegaskan bahwa meskipun bank telah menerapkan sistem keamanan berlapis, celah kejahatan tetap dapat terjadi akibat kelalaian di sisi pengguna.
“Meskipun bank telah menerapkan sistem keamanan berlapis dan memastikan kepatuhan terhadap regulasi perlindungan data pribadi (UU PDP), kejahatan tetap dapat terjadi jika nasabah tidak waspada atau lalai menjaga kerahasiaan informasi pribadinya,” jelas Friderica.
Sementara itu, praktisi keamanan siber Syahraki Syahrir (CEO Veda Praxis) memberikan analisis yang lebih mendalam dari kacamata tata kelola teknologi informasi. Melansir laporan Kompas.com (23/5/2026), ia menjelaskan bahwa sistem keamanan TI di sektor perbankan Indonesia merupakan yang paling matang (mature) dibanding industri lainnya.
“Pengawasan terhadap industri keuangan dilakukan secara berlapis oleh berbagai lembaga, seperti OJK, Bank Indonesia, BSSN, hingga Kementerian Komunikasi dan Digital. Seluruh regulator tersebut terus meningkatkan standar keamanan ke perbankan,” ujar Syahraki.
“Kalaupun data di internet gelap itu valid, kita harus meneliti secara forensik dari mana sumber data tersebut berasal. Dalam ekosistem digital modern, sistem perbankan terhubung dengan banyak penyedia layanan pihak ketiga (third-party vendors), pengembang aplikasi, hingga mitra bisnis lain. Sumber kebocoran data sangat mungkin berasal dari celah keamanan mitra eksternal tersebut, bukan dari server utama (core system) bank. Jadi jangan langsung menyimpulkan sistem inti perbankan kita lemah.”
Langkah Mitigasi Taktis untuk Tim Keamanan Siber Perusahaan
Berdasarkan tren klaim yang terdeteksi, tim keamanan siber dan praktisi IT GRC (Governance, Risk, and Compliance) di lembaga keuangan serta instansi strategis perlu mengimplementasikan matriks kontrol mitigasi berikut:
Edukasi Literasi bagi Pengguna Layanan Digital
Bagi masyarakat pengguna layanan transaksi perbankan digital, penguatan pertahanan mandiri dapat dilakukan melalui langkah-langkah praktis berikut tanpa harus panik:
- Proteksi Kredensial Rahasia: Jangan pernah membagikan kode OTP, PIN, atau kata sandi akun kepada siapa pun. Pihak perbankan secara resmi tidak pernah meminta data sensitif ini melalui telepon, SMS, maupun aplikasi pesan instan.
- Rotasi Kata Sandi Berkala: Lakukan pembaruan kata sandi secara berkala menggunakan kombinasi karakter yang kuat serta pastikan untuk membedakan kata sandi antar-akun platform yang berbeda.
- Aktivasi Notifikasi Transaksi: Aktifkan sistem peringatan (alert) atau notifikasi instan pada aplikasi perbankan bergerak guna memantau setiap mutasi rekening secara waktu nyata (real-time).
- Validasi Lewat Kanal Resmi: Jika mendeteksi indikasi anomali, segera lakukan konfirmasi mandiri melalui nomor pusat panggilan (call center) resmi terintegrasi (Halo BCA 1500888 atau BNI Call 1500046).
Di era industrialisasi data yang kian kompleks, keamanan informasi bukan lagi menjadi tanggung jawab tunggal dari sisi regulator atau penyedia layanan perbankan semata. Tingkat literasi keamanan siber pengguna akhir (end-user) bertindak sebagai lapisan pertahanan Human Firewall (dinding pertahanan manusia) yang sama krusialnya dengan implementasi enkripsi atau peranti dinding api (firewall) di sisi server. Serangan manipulasi siber modern tidak selalu mengandalkan celah kerusakan kode sistem yang rumit, melainkan aktif memanfaatkan kelengahan pengguna yang tidak waspada dalam menjaga data pribadinya.
Melalui sinkronisasi tata kelola risiko vendor pihak ketiga yang ketat, pengawasan berlapis dari otoritas nasional, serta kedisiplinan keamanan operasi (opsec) dari sisi nasabah, ekosistem perbankan Indonesia dapat terus mempertahankan kedaulatan data dan memperkokoh ketahanan ekonomi digital nasional.
Kesimpulan
Baca Juga
- TheGentlemen Ransomware: RaaS Baru yang Kuasai 10% Korban Global 2026, Kemenkes Kroasia hingga Museum Nasional Denmark Jadi Target
- Playbook SOC: Respons Cepat Saat Token/Secret Bocor di GitHub atau CI/CD (Supply Chain)
BACA_JUGA_LAINNYA
CRS AS Uji Coba AI untuk Ringkas RUU, Kurang dari 3% Hasilnya Layak Pakai
30 Juni 2026
Insider Trading di Polymarket, Eks-Security Engineer Google Raup Rp19 Miliar Pakai Data Internal
30 Juni 2026
Operation Poisson: Kisah Remaja Prancis yang Menyusup ke 4 Sistem dengan OpenSSH dan Tailscale
29 Juni 2026