Celah di KlikBCA Telanjangi Data Transaksi

Jakarta - Awas! Ada celah di layanan KlikBCA.com yang memungkinkan pihak tertentu melihat transaksi milik orang lain. Situs KlikBCA.com merupakan salah satu layanan online banking yang terkemuka di Indonesia. Ironisnya, terdapat celah yang memungkinkan pihak tertentu membuka data transaksi yang bukan miliknya. Celah tersebut ditemukan oleh seorang aktivis dunia maya yang menggunakan nama Ray Abduh. Sebelumnya Abduh juga kerap 'terlihat' melakukan deface ke berbagai situs. "Ada celah keamanan di aplikasi internet bankingnya BCA, yang memungkinkan kita bisa melihat transaksi rekening orang lain. Saya takut kalau dibiarkan akan digunakan oleh pihak yang tidak bertanggungjawab untuk melakukan hal yang merugikan orang atau nasabah bca. !!!!! Saya belum mengkonfirmasikan masalah ini ke pihak yang buat aplikasi, saya tidak tahu mesti kemana ??????" tulis Abduh dalam e-mail yang diterima detikINET, Rabu (19/04/2006). Saat didemonstrasikan kepada detikINET, terlihat memang melalui modifikasi tertentu seseorang yang memiliki rekening KlikBCA bisa mengakses informasi milik nasabah BCA lainnya. Seperti yang dilakukan Abduh terhadap rekening sebuah perusahaan di daerah Jakarta Selatan. Pihak BCA saat dikonfirmasi mengatakan telah mengetahui celah tersebut dan sedang melakukan perbaikan. "Kita sedang lakukan perbaikan," ujar Setyo Harsoyo, Deputy Manager Consumer Banking BCA, seraya meyakinkan bahwa transaksi di KlikBCA masih aman. Dari demonstrasi yang ditunjukkan Abduh, memang butuh keahlian tertentu untuk melihat data rekening milik nasabah lain. Artinya, pengguna normal kemungkinan akan sulit melakukan hal itu. Namun, di sebuah situs gratisan Abduh telah mempublikasikan sebuah halaman yang berhubungan dengan celah ini. Menurut praktisi teknologi informasi Heru Tjatur, celah di KlikBCA tersebut berhubungan dengan cara situs melakukan validasi atas penggunanya. "Kelihatannya tidak ada pengecekan di back-end, apakah pengguna tertentu hanya boleh mengakses rekening tertentu saja. Sehingga selama session-nya masih hidup (telah log-in di KlikBCA-red), ia bisa mengakses rekening milik orang lain," ujar Tjatur. Dalam demonstrasi memang yang dicoba hanya fungsi untuk melihat data transaksi (Mutasi Rekening). Namun, ditakutkan celah yang sama bisa digunakan juga untuk melakukan transaksi keuangan, termasuk transfer dana dan lainnya. (wsh) (wicak/)