Misteri Bobolnya RDN Rp70 Miliar: Pakar Ungkap Celah Maut di Balik Sistem Super Aman
Selasa, 16 September 2025 - 08:16 WIB
loading...
Targeted attack dilakukan para penjahat siber untuk mengeksploitasi suatu sistem keamanan yang susah ditembus. Foto: ist
A
A
A
JAKARTA - Rekening Dana Nasabah (RDN) selama ini dianggap sebagai salah satu "brankas digital" teraman di dunia keuangan. Didesain dengan sistem keamanan berlapis, ia adalah benteng yang menjaga dana para investor di pasar modal.
Salah satu kunci terkuatnya: dana dari RDN hanya bisa ditransfer ke satu rekening pribadi pemilik yang sudah terdaftar. Mustahil untuk dialihkan ke tempat lain.
Namun, pekan lalu, benteng yang dianggap mustahil ditembus itu jebol. Sebuah aksi peretasan canggih berhasil menyedot dana nasabah hingga mencapai nilai fantastis Rp70 miliar dari RDN di PT Panca Global Sekuritas (PGS) yang menggunakan BCA sebagai bank kustodian.
Insiden ini sontak mengirimkan gelombang kejut ke seluruh industri pasar modal Indonesia dan memicu investigasi cepat oleh Otoritas Jasa Keuangan (OJK). Pertanyaan besarnya: bagaimana para peretas berhasil melewati berlapis-lapis gembok keamanan yang seharusnya super aman?
Pihak-pihak terkait pun segera merilis pernyataan yang terkesan defensif. BCA, melalui Corporate Secretary-nya I Ketut Alam Wangsawijaya, menegaskan, "Dapat kami pastikan bahwa sistem BCA aman." Mereka menyatakan investigasi sedang berjalan.
Sementara itu, PT Panca Global Sekuritas (PGS), melalui Direktur Trisno Limanto, mengakui bahwa penarikan dana secara berulang dan dalam waktu singkat itu memang terjadi pada 9 September 2025, diduga melalui celah pada koneksi API host-to-host dengan BCA.
Namun, mereka mengambil langkah cepat: sistem yang diduga bermasalah langsung dinonaktifkan, dan yang terpenting, pada 10 September, PGS menyatakan telah mengembalikan seluruh dana tersebut kepada nasabah yang terdampak.
"Ini adalah targeted attack dan memang ditujukan untuk mengeksploitasi kelemahan sistem RDN," ujar Alfons.
Alfons menjelaskan paradoks dari kasus ini. Sistem RDN dengan token fisik dan aturan transfer satu rekening seharusnya sangat sulit dibobol. Lalu di mana celah mautnya? Menurut Alfons, para peretas tidak membobol sistem transfernya, melainkan sistem pendaftaran rekening baru.
"Kemungkinan ada kelemahan dari sisi ini," jelasnya. "Apakah API-nya yang kurang dijaga dengan baik dan tidak diharuskan menggunakan verifikasi TFA / OTP sehingga peretas bisa menambahkan nomor rekening baru guna mencuri dana di rekening RDN."
Dengan kata lain, peretas menemukan "pintu samping" yang tidak terjaga, mendaftarkan rekening penampung mereka sendiri tanpa terdeteksi, baru kemudian menguras isinya. "Kalau dalam sistem RDN kelihatannya ada bypass pengamanan TFA ini. Hal itu yg harus diperbaiki oleh segenap pelaku bursa," tegas Alfons.
Lebih jauh, Alfons menyoroti sebuah "penyakit" kronis di industri keuangan Indonesia: budaya menutupi insiden siber.
"Ada indikasi sebenarnya hal ini pernah terjadi beberapa kali di pelaku bursa yang lain. Tetapi setiap kali terjadi selalu tidak pernah diungkapkan dengan tuntas. Di mana masalahnya dan apa yang harus dilakukan untuk mencegah hal yang sama terjadi di masa depan," kritiknya.
Menurutnya, kerahasiaan ini justru berbahaya karena membuat pelaku industri lain tidak bisa belajar dari kesalahan dan memperbaiki celah keamanan yang mungkin juga ada di sistem mereka.
Pada akhirnya, meskipun nasabah kali ini tidak dirugikan secara finansial berkat tanggung jawab PGS, insiden pembobolan Rp70 miliar ini adalah sebuah alarm kebakaran yang memekakkan telinga.
Ia menjadi pengingat yang menyakitkan bahwa dalam perang digital, benteng terkuat sekalipun hanya sekuat pintu sampingnya yang paling lemah. Dan transparansi bukanlah sebuah kelemahan, melainkan pertahanan kolektif yangpalingkuat.
Salah satu kunci terkuatnya: dana dari RDN hanya bisa ditransfer ke satu rekening pribadi pemilik yang sudah terdaftar. Mustahil untuk dialihkan ke tempat lain.
Namun, pekan lalu, benteng yang dianggap mustahil ditembus itu jebol. Sebuah aksi peretasan canggih berhasil menyedot dana nasabah hingga mencapai nilai fantastis Rp70 miliar dari RDN di PT Panca Global Sekuritas (PGS) yang menggunakan BCA sebagai bank kustodian.
Insiden ini sontak mengirimkan gelombang kejut ke seluruh industri pasar modal Indonesia dan memicu investigasi cepat oleh Otoritas Jasa Keuangan (OJK). Pertanyaan besarnya: bagaimana para peretas berhasil melewati berlapis-lapis gembok keamanan yang seharusnya super aman?
Rentetan Peristiwa dan Sikap Saling Jaga
Kepanikan mulai merebak pada Jumat (12/9) ketika kabar ini mencuat. OJK, melalui Deputi Komisioner I. B. Aditya Jayaantara, mengonfirmasi bahwa pihaknya telah menerima laporan dan segera menggelar rapat koordinasi dengan Bursa Efek Indonesia (BEI) dan Kustodian Sentral Efek Indonesia (KSEI).Pihak-pihak terkait pun segera merilis pernyataan yang terkesan defensif. BCA, melalui Corporate Secretary-nya I Ketut Alam Wangsawijaya, menegaskan, "Dapat kami pastikan bahwa sistem BCA aman." Mereka menyatakan investigasi sedang berjalan.
Sementara itu, PT Panca Global Sekuritas (PGS), melalui Direktur Trisno Limanto, mengakui bahwa penarikan dana secara berulang dan dalam waktu singkat itu memang terjadi pada 9 September 2025, diduga melalui celah pada koneksi API host-to-host dengan BCA.
Namun, mereka mengambil langkah cepat: sistem yang diduga bermasalah langsung dinonaktifkan, dan yang terpenting, pada 10 September, PGS menyatakan telah mengembalikan seluruh dana tersebut kepada nasabah yang terdampak.
Pakar: Bukan Peretasan Biasa
Di tengah simpang siur informasi, pengamat keamanan siber dari Vaksin.com, Alfons Tanujaya, memberikan analisisnya. Ia mengatakan, ini bukanlah peretasan biasa."Ini adalah targeted attack dan memang ditujukan untuk mengeksploitasi kelemahan sistem RDN," ujar Alfons.
Alfons menjelaskan paradoks dari kasus ini. Sistem RDN dengan token fisik dan aturan transfer satu rekening seharusnya sangat sulit dibobol. Lalu di mana celah mautnya? Menurut Alfons, para peretas tidak membobol sistem transfernya, melainkan sistem pendaftaran rekening baru.
"Kemungkinan ada kelemahan dari sisi ini," jelasnya. "Apakah API-nya yang kurang dijaga dengan baik dan tidak diharuskan menggunakan verifikasi TFA / OTP sehingga peretas bisa menambahkan nomor rekening baru guna mencuri dana di rekening RDN."
Dengan kata lain, peretas menemukan "pintu samping" yang tidak terjaga, mendaftarkan rekening penampung mereka sendiri tanpa terdeteksi, baru kemudian menguras isinya. "Kalau dalam sistem RDN kelihatannya ada bypass pengamanan TFA ini. Hal itu yg harus diperbaiki oleh segenap pelaku bursa," tegas Alfons.
Lebih jauh, Alfons menyoroti sebuah "penyakit" kronis di industri keuangan Indonesia: budaya menutupi insiden siber.
"Ada indikasi sebenarnya hal ini pernah terjadi beberapa kali di pelaku bursa yang lain. Tetapi setiap kali terjadi selalu tidak pernah diungkapkan dengan tuntas. Di mana masalahnya dan apa yang harus dilakukan untuk mencegah hal yang sama terjadi di masa depan," kritiknya.
Menurutnya, kerahasiaan ini justru berbahaya karena membuat pelaku industri lain tidak bisa belajar dari kesalahan dan memperbaiki celah keamanan yang mungkin juga ada di sistem mereka.
Pada akhirnya, meskipun nasabah kali ini tidak dirugikan secara finansial berkat tanggung jawab PGS, insiden pembobolan Rp70 miliar ini adalah sebuah alarm kebakaran yang memekakkan telinga.
Ia menjadi pengingat yang menyakitkan bahwa dalam perang digital, benteng terkuat sekalipun hanya sekuat pintu sampingnya yang paling lemah. Dan transparansi bukanlah sebuah kelemahan, melainkan pertahanan kolektif yangpalingkuat.
(dan)
Lihat Juga :
