ERA.id - Setelah layanan Bank Syariah Indonesia (BSI) terganggu, jutaan data nasabah diduga bocor di dark web karena pihak BSI gagal bernegosiasi dengan LockBit, kelompok yang diklaim melakukan serangan siber ke bank plat merah tersebut.
Berdasarkan keterangan Twitter @darktracer_int, Selasa (16/5/2023), negosiasi dengan BSI telah berakhir dan geng ransomware LockBit telah mempublikasikan data curian mereka.
"Geng ransomware LockBit akhirnya menyebarkan seluruh data curian mereka dari BSI ke dark web," tulis akun @darktracer_int. Ia juga membagikan potongan gambar berjudul Index of/BANK_BSI/ yang diduga merupakan data-data BSI yang dicuri oleh LockBit.
Teguh Aprianto, seorang konsultan keamanan siber, menyebutkan bahwa data BSI dibocorkan secara bertahap dengan estimasi total berjumlah 8.133 file.
"Informasi pribadi 24.437 karyawan BSI dan dokumen internal sudah masuk ke list yang telah dibocorkan lebih awal," tulis Teguh lewat Twitter-nya @secgron, Rabu (17/5/2023). "Data nasabah juga dipastikan telah bocor."
Ia menjelaskan kebocoran data tersebut mencangkup informasi pribadi hingga informasi pinjaman nasabah di BSI.
Pihak @bankbsi_id sempat memberikan penawaran sebesar $100.000 (Rp. 1,48M) tapi dari LockBit meminta tebusan sebesar $20.000.000 (Rp. 297M).
Lalu dari BSI memberikan penawaran $10.000.000 namun kemudian tak berlanjut. Akhirnya data tersebut dipublish karena negosiasinya gagal. pic.twitter.com/oEl30ClaQZ
— Teguh Aprianto (@secgron) May 17, 2023
Pendiri Ethical Hacker Indonesia itu juga menyebutkan, pihak BSI awalnya sempat memberikan penawaran sebesar $100 ribu (sekitar Rp1,48 miliar) kepada LockBit. Namun, mereka meminta tebusan sebesar $20 juta (sekitar Rp297 miliar).
BSI lalu memberikan penawaran setengah dari harga yang diminta LockBit, tetapi tak ada komunikasi lebih lanjut. "Akhirnya data tersebut dipublish karena negosiasinya gagal," ungkap Teguh.
Sebelumnya diberitakan, BSI telah berkoordinasi untuk investigasi terkait serangan siber yang dialami pihaknya kepada pemangku kepentingan lainnya, seperti Otoritas Jasa Keuangan (OJK), Bank Indonesia (BI), serta Badan Siber dan Sandi Negara (BSSN). Sementara itu, pihak kepolisian menyebutkan bahwa mereka belum menerima adanya laporan terkait serangan siber tersebut.