Initializing
Siber.Web.ID
MENU_SYSTEM
Security Insights

Sektor Perbankan Jadi Target Klaim Kebocoran Data Masif, BCA dan BNI Buka Suara

I
Online

Dua bank terbesar di Indonesia, Bank Central Asia (BCA) dan Bank Negara Indonesia (BNI), menjadi sasaran klaim kebocoran data secara bersamaan pada pekan ketiga Mei 2026. Isu ini mencuat setelah akun pemantau jaringan internet gelap (dark web) melaporkan adanya data nasabah yang diklaim diperjualbelikan di forum bawah tanah. Merespons kondisi tersebut, kedua institusi perbankan langsung melakukan investigasi menyeluruh dan membantah keras adanya kebocoran dari arsitektur sistem internal mereka.

Infografik Sektor Perbankan Jadi Target Klaim Kebocoran Data Masif, BCA

Fenomena ini tidak bisa dipandang sebelah mata dari sudut pandang tata kelola risiko teknologi informasi (TI). Dalam satu pekan yang sama, klaim kebocoran data juga menyasar Badan Siber dan Sandi Negara (BSSN), Dinas Kependudukan dan Pencatatan Sipil (Disdukcapil), Komisi Pemberantasan Korupsi (KPK), hingga Tentara Nasional Indonesia (TNI). Pola anomali ini mengindikasikan adanya kampanye serangan siber terkoordinasi (coordinated campaign) yang menargetkan berbagai institusi strategis Indonesia secara simultan.

Klaim Data BCA: 4,9 Juta Basis Data dan 890 Ribu Akses Mobile Banking

Pada Kamis, 21 Mei 2026, akun X @DailyDarkWeb mengunggah tangkapan layar (screenshot) forum internet gelap yang menampilkan tawaran kumpulan data (dataset) berjudul “BCA Mobile Bank Access & Database”. Pihak penjual data mengaku memiliki sekitar 890.000 akses akun dan 4,9 juta data basis data yang diduga berasal dari layanan perbankan bergerak (mobile banking) BCA. Data tersebut diklaim memuat informasi pribadi nasabah hingga kolom internal sistem.

Infografik Klaim Kebocoran Data Perbankan 2026

Infografik: Klaim kebocoran data BCA, BNI, dan institusi strategis lainnya periode 18–25 Mei 2026. (Sumber: Kompas.com, Tempo.co, Bloomberg Technoz, Kontan.co.id)

Melansir laporan Kompas.com (21/5/2026), EVP Corporate Communication & Social Responsibility BCA, Hera F. Haryn, menegaskan bahwa hasil investigasi forensik internal tidak menemukan adanya kecocokan antara data yang beredar di ruang publik dengan basis data orisinil milik perusahaan.

“Kami telah melakukan investigasi menyeluruh dan memastikan tidak ada kebocoran data dari sistem BCA,” ujar Hera. Perseroan memastikan data nasabah tetap aman dan tidak ada indikasi kebocoran pada sistem TI perusahaan. Manajemen juga terus menerapkan strategi keamanan siber berlapis (defense-in-depth) serta langkah mitigasi risiko terintegrasi untuk menjaga integritas data dan transaksi digital nasabah.

Klaim Data BNI: 1,5 Terabita Diduga Terekspos

Tidak hanya BCA, Bank Negara Indonesia juga menjadi sasaran klaim pemerasan digital serupa. Akun @karsapolitik bersama jaringan kolaborasinya mengunggah informasi penjualan data nasabah BNI yang disebutkan berukuran hingga 1,5 terabita (TB). Unggahan tersebut menyertakan identitas korporasi BNI tanpa menyajikan bukti dokumen (sample data) yang konkret, melainkan hanya narasi spekulatif mengenai dampak negatif kebocoran data.

Corporate Secretary BNI, Okki Rushartomo, menyatakan bahwa tim IT Security BNI telah dikerahkan sejak awal untuk melakukan investigasi berkelanjutan dan pemantauan ketat. Melansir berita Kompas.com (23/5/2026), BNI tidak menemukan adanya indikasi pengambilan data nasabah secara tidak sah.

“Hingga saat ini, kami tidak menemukan indikasi adanya pengambilan maupun pemindahan data nasabah secara tidak sah,” tegas Okki. BNI memastikan seluruh layanan transaksi perbankan tetap beroperasi normal dan aman melalui aplikasi wondr by BNI, jaringan ATM, maupun kantor cabang fisik.

Mengapa Ini Penting untuk Tata Kelola Keamanan Siber Perusahaan?

Aspek krusial dari kasus ini bukan terletak pada validitas klaim kebocoran data tersebut, melainkan pada pola serangan (attack pattern) yang berhasil dideteksi oleh komunitas intelijen ancaman siber. Pada rentang 18–21 Mei 2026, setidaknya enam institusi strategis Indonesia menjadi sasaran klaim kebocoran secara simultan:

  • BCA : dugaan kebocoran 4,9 juta data dan 890 ribu akses perbankan bergerak.
  • BNI : dugaan kebocoran 1,5 TB data nasabah.
  • BSSN : dugaan data internal Poltek SSN terekspos.
  • Disdukcapil : klaim kebocoran data kependudukan nasional.
  • KPK : klaim kebocoran data internal lembaga.
  • TNI : klaim kebocoran data personel militer.

Pola simultan ini menunjukkan bahwa pelaku ancaman siber (threat actors) tengah menjalankan pendekatan terkoordinasi yang masif, bukan serangan acak (random attacks). Bagi tim keamanan informasi di institusi Indonesia, ini adalah sinyal peringatan kritis: arsitektur digital nasional tengah berada dalam radar target kelompok peretas global.

Respons OJK dan Analisis Kematangan TI Pihak Ketiga

Ketua Dewan Komisioner Otoritas Jasa Keuangan (OJK), Friderica Widyasari Dewi, mengingatkan masyarakat untuk terus meningkatkan disiplin perlindungan data pribadi. Melansir Tempo.co (25/5/2026), Friderica menegaskan bahwa meskipun bank telah menerapkan sistem keamanan berlapis, celah kejahatan tetap dapat terjadi akibat kelalaian di sisi pengguna.

“Meskipun bank telah menerapkan sistem keamanan berlapis dan memastikan kepatuhan terhadap regulasi perlindungan data pribadi (UU PDP), kejahatan tetap dapat terjadi jika nasabah tidak waspada atau lalai menjaga kerahasiaan informasi pribadinya,” jelas Friderica.

Sementara itu, praktisi keamanan siber Syahraki Syahrir (CEO Veda Praxis) memberikan analisis yang lebih mendalam dari kacamata tata kelola teknologi informasi. Melansir laporan Kompas.com (23/5/2026), ia menjelaskan bahwa sistem keamanan TI di sektor perbankan Indonesia merupakan yang paling matang (mature) dibanding industri lainnya.

“Pengawasan terhadap industri keuangan dilakukan secara berlapis oleh berbagai lembaga, seperti OJK, Bank Indonesia, BSSN, hingga Kementerian Komunikasi dan Digital. Seluruh regulator tersebut terus meningkatkan standar keamanan ke perbankan,” ujar Syahraki.

“Kalaupun data di internet gelap itu valid, kita harus meneliti secara forensik dari mana sumber data tersebut berasal. Dalam ekosistem digital modern, sistem perbankan terhubung dengan banyak penyedia layanan pihak ketiga (third-party vendors), pengembang aplikasi, hingga mitra bisnis lain. Sumber kebocoran data sangat mungkin berasal dari celah keamanan mitra eksternal tersebut, bukan dari server utama (core system) bank. Jadi jangan langsung menyimpulkan sistem inti perbankan kita lemah.”


Langkah Mitigasi Taktis untuk Tim Keamanan Siber Perusahaan

Berdasarkan tren klaim yang terdeteksi, tim keamanan siber dan praktisi IT GRC (Governance, Risk, and Compliance) di lembaga keuangan serta instansi strategis perlu mengimplementasikan matriks kontrol mitigasi berikut:

Area Kontrol Keamanan Langkah Mitigasi Taktis & Tata Kelola Data Skala Prioritas
Risiko Vendor Pihak Ketiga Eksekusi audit keamanan siber secara rigid ke seluruh pihak ketiga yang terintegrasi dengan API sistem inti perbankan. 🔴 Tingkat Kritis (High)
Intelijen Internet Gelap Aktifkan otomatisasi pemantauan pengikisan data internet gelap (dark web scraping) untuk deteksi dini (early warning) klaim data institusi. 🔴 Tingkat Kritis (High)
Higienitas Kredensial Terapkan arsitektur akses tanpa kata sandi (passwordless) atau wajibkan Otentikasi Multi-Faktor (MFA) berbasis token untuk internal. 🛡️ Skala Sedang (Medium)
Buku Panduan Insiden Susun dan simulasikan draf rencana penanganan insiden (incident response playbook) khusus klaim kebocoran di internet gelap. 🛡️ Skala Sedang (Medium)
Humas Krisis Koordinasi taktis dengan tim humas untuk merespons dan mengklarifikasi klaim hoaks kebocoran data maksimal dalam kurun waktu 4 jam. 🛡️ Skala Sedang (Medium)

Edukasi Literasi bagi Pengguna Layanan Digital

Bagi masyarakat pengguna layanan transaksi perbankan digital, penguatan pertahanan mandiri dapat dilakukan melalui langkah-langkah praktis berikut tanpa harus panik:

  • Proteksi Kredensial Rahasia: Jangan pernah membagikan kode OTP, PIN, atau kata sandi akun kepada siapa pun. Pihak perbankan secara resmi tidak pernah meminta data sensitif ini melalui telepon, SMS, maupun aplikasi pesan instan.
  • Rotasi Kata Sandi Berkala: Lakukan pembaruan kata sandi secara berkala menggunakan kombinasi karakter yang kuat serta pastikan untuk membedakan kata sandi antar-akun platform yang berbeda.
  • Aktivasi Notifikasi Transaksi: Aktifkan sistem peringatan (alert) atau notifikasi instan pada aplikasi perbankan bergerak guna memantau setiap mutasi rekening secara waktu nyata (real-time).
  • Validasi Lewat Kanal Resmi: Jika mendeteksi indikasi anomali, segera lakukan konfirmasi mandiri melalui nomor pusat panggilan (call center) resmi terintegrasi (Halo BCA 1500888 atau BNI Call 1500046).
⚠️ Penguatan Kapasitas Human Firewall:

Di era industrialisasi data yang kian kompleks, keamanan informasi bukan lagi menjadi tanggung jawab tunggal dari sisi regulator atau penyedia layanan perbankan semata. Tingkat literasi keamanan siber pengguna akhir (end-user) bertindak sebagai lapisan pertahanan Human Firewall (dinding pertahanan manusia) yang sama krusialnya dengan implementasi enkripsi atau peranti dinding api (firewall) di sisi server. Serangan manipulasi siber modern tidak selalu mengandalkan celah kerusakan kode sistem yang rumit, melainkan aktif memanfaatkan kelengahan pengguna yang tidak waspada dalam menjaga data pribadinya.

Melalui sinkronisasi tata kelola risiko vendor pihak ketiga yang ketat, pengawasan berlapis dari otoritas nasional, serta kedisiplinan keamanan operasi (opsec) dari sisi nasabah, ekosistem perbankan Indonesia dapat terus mempertahankan kedaulatan data dan memperkokoh ketahanan ekonomi digital nasional.

Kesimpulan

Baca Juga

Bagikan Artikel
Security Tools