Ahli IT Soroti Celah Keamanan di Kasus Nasabah Mirae, Dana Hilang Rp 71 M

Pakar keamanan siber Vaksincom, Alfons Tanujaya menilai kasus hilangnya dana milik nasabah Mirae Asset Sekuritas mencapai Rp 71 miliar bukan hanya soal sengketa antara nasabah dan perusahaan. Kasus ini dinilai juga menunjukkan adanya kelemahan pengamanan sistem yang seharusnya bisa dicegah sejak awal. 

Ia menyebut kasus ini terjadi pada periode ketika Mirae Asset belum menerapkan one-time password (OTP) sebagai lapisan keamanan tambahan, sehingga akun pengguna lebih rentan terhadap pencurian akses.

“Ada hal yang perlu dipertimbangkan juga, di mana secara tidak langsung penyedia layanan digital itu perlu selalu mengevaluasi produk digitalnya,” kata dia kepada Katadata.co.id, Senin (1/12). 

Jika OTP diterapkan lebih dini, menurut dia, pencurian username dan password tidak akan cukup untuk masuk ke akun nasabah. Selain OTP, ia menyarankan pialang menerapkan pengamanan berbasis perangkat, seperti penguncian akses berdasarkan IMEI, MAC address, atau IP address.

“Kalau perangkat berganti, sistem harus memaksa verifikasi ulang. Repot, tapi aman,” kata dia. 

Alfons juga menguraikan bagaimana pelaku diduga mengeksploitasi kelemahan sistem transaksi saham. Menurutnya, pelaku tidak dapat menarik dana langsung karena rekening pencairan telah dikunci dan harus diverifikasi ketat. Namun, ada celah lain, yakni transaksi saham tetap dapat dilakukan secara bebas.

Alfons menjelaskan, pola penipuan yang terlihat dari laporan tersebut serupa dengan modus yang sudah beberapa kali terjadi di industri pialang. Pelaku diduga mengambil alih akun korban, menjual seluruh saham berkapitalisasi besar yang dimiliki, lalu menggunakan dana hasil penjualan untuk membeli saham-saham waran yang sebelumnya telah dikuasai pelaku. 

Harga waran tersebut dipasang jauh lebih tinggi dari harga pasar sehingga ketika akun korban, yang sudah dibajak, membeli saham tersebut, dana secara resmi berpindah ke rekening pelaku. Menurutnya, pola seperti ini seharusnya dapat diblokir lebih cepat oleh sistem pemantauan pialang.

Ia juga mempertanyakan lambatnya deteksi transaksi janggal oleh perusahaan. Menurut Alfons, pialang sudah mengetahui bahwa rekening nasabah tidak bisa ditarik langsung ke rekening lain tanpa verifikasi berlapis. 

Namun, celah keamanan justru muncul dari transaksi saham yang tidak dibatasi, sehingga pelaku dapat menguras dana dengan cara memindahkan nilai aset melalui perdagangan. “Pertanyaannya, mengapa transaksi yang tidak wajar ini tidak langsung teridentifikasi?” ujarnya.

Selain kepada pialang, Alfons menyoroti peran otoritas. Ia menilai alur transaksi dalam kasus seperti ini sangat mungkin ditelusuri, mulai dari pialang, rekening penerima, hingga identitas penjual saham waran. 

Kerja cepat antara OJK, PPATK, pialang, dan kepolisian seharusnya dapat mempersempit ruang gerak pelaku. “Ini bukan modus yang rumit. Pelakunya tidak banyak dan polanya berulang, seharusnya bisa ditindak sebelum kerugian membesar,” katanya.

Respons Mirae Asset

Mirae Asset sebelumnya menyatakan sedang melakukan investigasi dan berkoordinasi dengan OJK, SRO, dan PPATK. Manajemen Mirae Asset Sekuritas menyatakan bahwa pihaknya menyadari adanya laporan nasabah yang beredar. 

“Saat ini kami menjalankan investigasi internal dan berkoordinasi dengan Otoritas Jasa Keuangan (OJK), Self-Regulatory Organizations (SRO) serta PPATK untuk memastikan proses pengungkapan kasus ini dapat dilakukan dengan sebaik-baiknya dan sesuai dengan ketentuan,” ujar manajemen Mirae Asset Sekuritas dalam keterangan resmi, Senin (1/12).

Dari pemeriksaan awal, perusahaan menemukan indikasi bahwa nasabah telah membagikan kata sandi dan akses ke akun investasinya kepada pihak lain. Tindakan tersebut merupakan pelanggaran terhadap pedoman keamanan dan berpotensi menimbulkan risiko serius.

Namun, manajemen menegaskan temuan tersebut masih didalami. Mirae Asset tidak menutup kemungkinan akan menempuh langkah hukum apabila investigasi membuktikan adanya penyalahgunaan, laporan palsu, atau tindakan merugikan yang menyasar reputasi perusahaan.

Sebelumnya, seorang nasabah bernama Irman resmi melaporkan jajaran direksi Mirae Asset Sekuritas, Tae Yong Shim, Tomi Taufan, dan Arishandi, atas dugaan penipuan dan akses ilegal. Laporan tersebut teregister di Bareskrim Polri pada 28 November 2025.

Irman mengaku kehilangan dana pada 6 Oktober 2025 setelah menerima notifikasi transaksi pada pukul 19.34 WIB. Ia baru mengetahui bahwa dana miliknya berkurang sekitar Rp 71 miliar. Menurut kuasa hukumnya, Krisna Murti, Irman mendapat konfirmasi jual-beli saham yang tidak pernah ia lakukan. 

Portofolio saham-saham besar seperti BBCA, BBRI, TLKM, BMRI, CDIA, dan BIPI juga mendadak hilang dan berubah menjadi saham-saham tidak likuid seperti FILM dan NAYZ.

Irman sempat melaporkan kejadian itu ke layanan pelanggan dan bertemu jajaran direksi Mirae Asset pada 7 Oktober 2025. Namun, menurut temuan awal perusahaan yang disampaikan kepadanya, tidak ditemukan indikasi peretasan server maupun pelanggaran akses sistem.