Spesialis Keamanan Teknologi Vaksincom Alfons Tanujaya menyebut kebocoran data Indonesia Automatic Fingerprint Identification System alias INAFIS tidak bisa digunakan untuk membobol atau menonaktifkan akun pengguna tanpa sepengetahuannya. Ia membantah pernyataan MrBert di Instagram yang tengah ramai dibicarakan.
Alfons tidak menafikan bahwa kebocoran data ibu kandung bisa digunakan oleh penipu. Namun, ia bisa memastikan bahwa risiko tertinggi adalah penutupan rekening bank, bukan pengambilalihan rekening bank.
“Tidak ada risiko rekening diambil alih, dana diambil alih, dana dicuri, atau ditransfer. Itu hanya terjadi kalau credential mobile anda diambil. Kalau credential mobile dan OTP anda diambil, itu bisa terjadi pengambilalihan dana,” ujar Alfons dalam video Instagramnya, Senin (4/11).
Credentials sendiri berarti nama pengguna dan kata sandi untuk masuk ke dalam akun bank. OTP adalah kode verifiaksi yang digunakan bila seseorang ingin mengakses akunnya. Oleh sebab itu, menurut Alfons pengambilalihan akun hampir mustahil bila berbekal data kependudukan dan ibu kandung.
Menurut dia, pengguna aplikasi mobile banking bisa merasa aman, rekeningnya tidak akan dibobol sepanjang tidak memberi tahu nama pengguna, kata sandi, dan OTP mobile banking-nya.
“Jadi teman-teman enggak perlu terlalu khawatir dan yang penting anda amankan username, password, dan OTP mobile banking. Jangan pernah sebarkan OTP, anda tetap harus konservatif,” ujarnya.
Informasi ini terkait dampak kebocoran data ini awalnya beredar dari akun MrBert di Instagram. Pria dengan nama pengguna realmrbert itu mengatakan kebocoran data seperti INAFIS bisa dipakai untuk menonaktifkan rekening bank.
Dalam unggahannya, MrBert memperlihatkan kebocoran data INAFIS pada 19 Oktober 2023 lalu. Data ini berisi NIK, nama warga, nomor telepon, tanggal lahir, hingga nama gadis ibu kandung 200 juta penduduk Indonesia. Nama gadis ibu kandung ini bisa digunakan untuk verifikasi data rekening di bank,
Ia lalu mendemonstrasikan penggunaan data tersebut dengan memanggil call center sebuah bank. Dalam sambungan telepon itu, call center meminta Mr Bert menyebut nama lengkap, nama gadis ibu kandung, nomor telepon yang terdaftar, hingga tanggal lahir.
“Bank aja bisa gua bodoh-bodohin pakai data ini. Enggak perlu hack. Ini reaksi bank, dia minta nonaktifkan akunnya,” ujar MrBert dalam unggahannya.