tirto.id - Sebuah grup ransomware bernama LockBit dilaporkan telah menyebarkan data 1,5 Terabyte milik Bank Syariah Indonesia (BSI) ke jaringan pasar gelap internet.
Kasus ini terjadi diawali dengan serangan group ransomware LockBit pada 8 Mei 2023 lalu ke layanan BSI yang menyebabkan layanan bank terganggu.
Usai serangan tersebut, LockBit memberikan pengumuman bahwa mereka telah mencuri data BSI yang berisi informasi pribadi lebih dari 15 juta pelanggan, karyawan, dokumen keuangan, dokumen hukum, NDA, dan kata sandi layanan eksternal dan intenal bank.
Kemudian mereka mengajukan negosiasi kepada BSI. LockBit bersedia mengembalikan semua data yang mereka curi apabila BSI menghubungi mereka dan memberikan tebusan sebesar Rp295,6 miliar. Geng hacker tersebut lalu memberikan tenggat waktu kepada BSI yaitu pada 15 Mei, 2023 Pukul 21:09:46 UTC.
Selanjutnya, setelah tenggat waktu terlewati, LockBit kembali memberikan informasi bahwa mereka telah menyebarkan data yang mereka curi di internet. Pasalnya, menurut mereka BSI tidak bertindak untuk menyelamatkan data pribadi nasabah mereka.
Geng hacker asal Rusia tersebut juga menyebut bahwa BSI tidak bertanggungjawab atas data nasabah mereka. Sehingga, mereka mengimbau para nasabah agar segera melaporkan BSI ke pihak berwajib karena ketidakbertanggungjawaban BSI.
Di lain pihak, BSI memberikan keterangan resmi pada 16 Mei 2023 melalui Corporate Secretary BSI Gunawan A. Hartoyo bahwa pihaknya memastikan data dan dana nasabah aman. BSI juga memastikan bahwa bertransaksi di BSI juga aman dilakukan.
Lalu, Gunawan juga menjelaskan bahwa BSI akan berkoordinasi dengan otoritas terkait dengan isu kebocoran data yang menyerang mereka.
Ancaman LockBit pada BSI
Ancaman LockBit pada BSI diketahui secara luas usai akun Twitter @darktracer_int memposting pengumuman oleh LockBit yang berisi ancaman pada BSI, berikut rinicannya:
Pada 8 Mei, kami menyerang Bank Syariah Indonesia, menghentikan sepenuhnya semua layanannya. Manajemen bank tidak dapat memikirkan hal yang lebih baik daripada dengan berani berbohong kepada pelanggan dan mitra mereka, melaporkan semacam itu ‘pekerjaan teknis’ sedang dilakukan di bank.
Kami juga ingin memberi tahu Anda bahwa selain kelumpuhan bank, kami mencuri sekitar 1,5 terabyte data pribadi. Data yang dicuri meliputi:
1) 9 database yang berisi informasi pribadi lebih dari 15 juta pelanggan, karyawan (nomor telepon, alamat, nama, informasi dokumen, jumlah rekening, nomor kartu, transaksi, dan banyak lagi)
2) dokumen keuangan
3) dokumen hukum
4) NDA
5) Kata sandi untuk semua layanan internal dan eksternal yang digunakan di bank
Kami memberikan waktu 72 jam kepada manajemen bank untuk menghubungi LockbitSupp dan menyelesaikan masalah tersebut.
P.S. Untuk semua pelanggan dan mitra bank yang datanya telah dicuri. Jika Bank Syariah Indonesia menghargai reputasinya, pelanggan dan mitra, mereka akan menghubungi kami dan Anda tidak akan terancam. Jika tidak, kami merekomendasikan Anda untuk menghentikan kerjasama dengan perusahaan ini.
SEMUA DATA YANG TERSEDIA AKAN DIPUBLIKASIKAN!
Deadline: 15 Mei, 2023 21:09:46 UTC
Pengumuman Penyebaran Data BSI oleh LockBit
Masih berdasarkan postingan akun Twitter @darktracer_int, LockBit memberikan pengumuman bahwa negosiasi antara LockBit dan BSI gagal, sehingga mereka memutuskan menyebarkan data BSI yang mereka curi ke pasar gelap internet.
Rekomendasi kami kepada semua nasabah yang telah menjadi korban karena tidak bertanggungjawab dan tidak kompetennya orang-orang ini:
1. Yang terpenting, hentikan penggunaan BSI. Orang-orang ini tidak tahu bagaimana melindungi uang dan informasi pribadi Anda dari penjahat. Mereka bahkan tidak bisa mengamankan situs mereka dalam seminggu. Hal terbaik yang bisa dilakukan penjahat kecil ini adalah membohongi klien mereka, menghapus komentar di Twitter, dan membesarkan perut.
2. Mintalah keluarga dan teman Anda untuk berhenti menggunakan BSI. Hal ini menjadi poin yang tidak kalah penting karena peringatan kami tentang tidak bertanggung jawabnya bank ini tidak akan sampai ke semua nasabah BSI.
3. BSI harus memberikan kompensasi kepada Anda atas masalah yang Anda timbulkan. Jika Anda menemukan satu baris pun tentang diri Anda (Anda akan menemukannya) tersebar di internet. Pergi ke pengadilan, buat gugatan class action terhadap BSI. Mereka melanggar undang-undang privasi data dengan membocorkan informasi dan membuat Anda menunggu dan khawatir saat "pekerjaan teknis" sedang berlangsung, padahal mereka dapat membayar kami, dan masalah akan tuntas pada hari itu juga.
Kami tidak mengungkapkan kerentanan dalam sistem BSI dan staf bank yang dikompromikan, jadi kami menyimpan sebagian kecil dari data yang paling menarik untuk diri kami sendiri untuk pasca-eksploitasi. Sampai berjumpa lagi..
P.S. Tentang korespondensi yang dilampirkan pada posting ini. Sangat bodoh apabila berpikir bahwa dalam waktu yang kami habiskan di jaringan perusahaan BSI sebelum kami menyerang (sekitar 2 bulan), kami tidak akan dapat menemukan dan mencuri semua yang kami butuhkan.
SEMUA DATA YANG TERSEDIA DITERBITKAN!
Penulis: Balqis Fallahnda
Editor: Dipna Videlia Putsanra
