Baru-baru ini sempat ramai video dari akun MrBert di Instagram yang menyebut adanya kebocoran data, salah satunya yaitu dari Indonesia Automatic Fingerprint Identification System (INAFIS), yang menurutnya bisa digunakan untuk memblokir rekening bank. Di dalam video tersebut, MrBert menunjukkan tangkapan layar dari situs SOCRadar, yang menunjukkan tangkapan layar dari situs BreachForum terkait kebocoran data INAFIS yang sempat ramai beberapa bulan lalu.

Data INAFIS mencakup informasi biometrik seperti sidik jari yang digunakan dalam identifikasi kriminal dan untuk verifikasi identitas dalam layanan tertentu, seperti aplikasi bank. Kebocoran data biometrik sangat berbeda dari kebocoran data biasa, karena data biometrik bersifat permanen dan tidak bisa diubah. Jika informasi ini jatuh ke tangan yang salah, pelaku dapat menggunakan data tersebut untuk melewati autentikasi yang menggunakan sidik jari atau bahkan melakukan serangan phising bertarget untuk mengelabui bank atau aplikasi pembayaran.

Data bocor ini diklaim telah diperjualbelikan di forum gelap. Beberapa pakar IT menyebut bahwa jika data tersebut benar-benar sah, maka ini menunjukkan adanya kegagalan serius dalam keamanan infrastruktur IT yang melibatkan sistem INAFIS. Seorang ahli keamanan, menjelaskan bahwa salah satu ancaman yang paling menonjol adalah eksploitasi data biometrik yang kemungkinan besar akan menyasar perbankan.

Kemudian dia juga menampilkan tangkapan layar dari postingan SOCRadar lain yang juga menampilkan tangkapan layar dari situs BreachForum lain. Postingan ini menunjukkan penjualan data eKTP Indonesia, yang salah satunya berisi nama ibu kandung. "Ini dijual tanggal 19 bulan 10. Ini dijual data NIK, KTP sampai nama ibu kalian," kata MrBert. Menurutnya, data-data ini bisa digunakan untuk menonaktifkan rekening bank seseorang. Dan, dia juga menunjukkan video saat sedang menghubungi nomor yang dinarasikan sebagai customer service sebuah bank.

Baca Juga: Terlibat Judi Online, 11 Pegawai Komdigi Bukan dari Eselon

Alfons Tanujaya, seorang pengamat keamanan siber dari Vaksincom mengomentari video ini. Menurut pendapatnya, meskipun kebocoran data itu memang benar terjadi, namun video yang dimaksud dinilai terlalu didramatisir. "Menurut saya itu terlalu didramatisir. Kebocoran datanya memang benar, dan bisa disalahgunakan untuk mengaku sebagai pemilik rekening," kata Alfons.

"Tetapi ini tidak akan secara langsung mengakibatkan pengambilalihan rekening atau pemindahan dana," ungkapnya. Hal ini karena, menurut Alfons, masih ada satu data lagi yang diperlukan untuk mengambil alih rekening bank, yaitu kode OTP. "Jadi misalkan saja penipu itu berhasil menghubungi ke bank dan melalui proses verifikasi. Tetapi setelah itu dia tetap tidak bisa akses akunnya karena masih ada proses verifikasi yang cukup ketat yang akan dilakukan oleh bank. Jadi kebocoran OTP itu yang menentukan pengambilalihan akun dan transfer dana," jelas Alfons.

Namun dia kembali menegaskan bahwa data yang bocor dan bisa dieksploitasi itu benar adanya. Termasuk kebocoran data nama gadis ibu kandung yang bisa dipakai untuk memblokir rekening bank. "Resiko tertinggi dari kebocoran data itu tadi termasuk kebocoran nama gadis ibu kandung adalah : Call center memblokir rekening bank orang. Namun tidak dapat mengambil alih dana atau take over rekening," tambahnya.
Para ahli menyarankan perusahaan-perusahaan finansial dan pengguna untuk segera meningkatkan kewaspadaan. Perbankan disarankan untuk memperbarui sistem autentikasi dengan dua faktor (2FA) yang lebih kompleks atau berbasis aplikasi, serta memperketat akses pada data pribadi pengguna. Selain itu, pengetatan kebijakan untuk penyimpanan dan pemrosesan data biometrik sangat dianjurkan.
Pemerintah diharapkan segera memperketat pengamanan pada sistem yang menangani data biometrik nasional dan melakukan investigasi menyeluruh untuk mencegah insiden serupa di masa mendatang.