6 hours ago
1
Jakarta, CNBC Indonesia - Peristiwa pembobolan dana yang tersimpan di Rekening Dana Nasabah (RDN) berulang kali terjadi. Banyak nasabah yang bertanya pembobolan dana investasi tersebut salah sekuritas atau bank?
Perusahaan riset ITSEC menjelaskan pembobolan RDN nampaknya digunakan dengan memanfaatkan celah pada API, penghubung antara sekuritas dan infrastruktur kliring. Dari informasi yang didapatkan, API itu berasal dari back office yang digunakan pihak sekuritas.
"Jadi terkait itu API di sisi mana, kalau dari informasinya ya sebenarnya API dari sisi aplikasi back office yang dipakai oleh teman-teman dari sekuritas, kondisi begitu ya," kata Security Strategist ITSEC, Anton Dwi Suhartanto, ditemui usai acara "Is The Securities Industry Ready for The Next Wave of Cyber Threats?", Jakarta, Kamis (23/10/2025).
Dia juga belum bisa memastikan lebih lanjut soal kepastian serangan. Kecuali memang pihaknya telah terjun langsung merespons insiden tersebut.
Soal API, Anton menjelaskan bisa berasal baik dari sisi sekuritas atau bank. Keamanan API harus dipastikan oleh pihak yang membuat API, baik bank maupun aplikasi trading.
Agar tetap aman, salah satu yang bisa dilakukan dari pihak yang mengeluarkan API adalah membatasi permintaan. Selain itu juga menerapkan solusi keamanan API lainnya.
"Kita bisa make sure dengan cara misalkan kayak solusi-solusi API security kita bisa terapkan di sana gitu ya. Jadi API security itu ya kita melihat kayak limitation access-nya gitu ya terus kemudian kayak kita melihat apakah autorisasi-nya sudah jalan di situ dan lain sebagainya," jelasnya.
Sebelumnya terungkap pelaku mengeksploitasi koneksi API. Mereka berhasil mengambil data Know Your Customer (KYC), melihat dana yang tersimpan di RDN, serta memberikan otorisasi palsu dalam pemindahan dana ke akun dormant.
Sistem back office sendiri menyimpan data KYC investor yang digunakan oleh pialang untuk menjalankan verifikasi atas nama klien. Akses diberikan untuk identitas terpercaya dan membuat proses otorisasinya seperti resmi.
"Menggunakan KYC curian dan akses sistem, pelaku merancang permintaan transfer atau memanipulasi alur persetujuan sehingga pengiriman data bisa melewati pengecekan otomatis. Dana sering kali dipindahkan melalui akun bank dormant," jelas ITSEC.
Kasus ini mencuat dalam peristiwa pembobolan RDN milik anak usaha PT Panca Global Kapital Tbk di BCA. Peristiwa kebocoran terkait RDN juga pernah diberitakan melibatkan NH Korindo dan Trimegah.
Otoritas Jasa Keuangan (OJK) memastikan bahwa nasabah tidak mengalami kerugian dalam kasus pembobolan rekening dana nasabah (RDN) PT Panca Global Sekuritas di BCA. Seluruh kerugian akibat insiden tersebut ditanggung sepenuhnya oleh lembaga jasa keuangan terkait.
"OJK telah berkomunikasi dengan LJK (lembaga jasa keuangan) terkait, di mana seluruh kerugian yang terjadi akibat insiden tersebut ditanggung sepenuhnya oleh LJK, sehingga nasabah sama sekali tidak dirugikan," ujar Kepala Eksekutif Pengawas Pasar Modal, Keuangan Derivatif, dan Bursa Karbon OJK Inarno Djajadi dalam keterangan tertulis Konferensi Pers RDKB September 2025, Kamis (9/10/2025).
Adapun kasus ini mencuat setelah sejumlah nasabah Panca Global Sekuritas melaporkan dugaan pembobolan RDN mereka yang ditempatkan di BCA. Berdasarkan hasil temuan awal, serangan siber diduga mengeksploitasi koneksi application programming interface (API) antara sistem back office milik sekuritas dan sistem milik bank kustodian, dalam hal ini BCA.
(dem/dem)
[Gambas:Video CNBC]
Next Article 16 Penipu Kelas Kakap Pembobolan Rekening Akhirnya Ditangkap
