TRANSAKSI perbankan lewat internet agaknya kian rawan pembobolan. Contohnya, transaksi perbankan melalui situs Bank Central Asia (BCA) di dunia maya. Makin banyak terdengar nasabah pengguna fasilitas Klik BCA yang mengaku rekeningnya dibobol. Misalnya, keluhan A.S.M. Iskandar Di Nata, seorang nasabah BCA Cabang Green Garden, Jakarta, yang dimuat di sebuah harian Ibu Kota, Sabtu dua pekan lalu.

Biasanya, Iskandar melakukan transaksi Klik BCA lewat internet di komputer rumahnya di bilangan Kebayoran, Jakarta Selatan. Pada 8 Januari 2002, ia mencoba menarik uang dari rekeningnya melalui salah satu anjungan tunai BCA. Ternyata, saldo rekeningnya tinggal Rp 1.036.835. "Mestinya masih di atas Rp 40 juta," tutur Iskandar.

Jelas, Iskandar kaget. Padahal ia merasa yakin dan mengaku tak pernah memberitahukan kode pengguna (user ID) dan password (PIN) miliknya kepada siapa pun. Rupanya, "Situs Klik BCA, yang disebut-sebut sangat aman, telah ditembus pembobol," ujarnya.

Setelah diteliti dan mutasi rekening Iskandar melalui Klik BCA dicetak, ternyata banyak transaksi pada rekeningnya yang janggal. Umpamanya, ada pembelian voucher prabayar untuk Simpati, Mentari, dan Pro XL sejak 1 Januari 2002 yang mencapai puluhan juta rupiah. Ada lagi pembelian voucher pulsa kartu GSM prabayar melalui internet. Lantas, ada sepuluh kali transfer dana dari rekeningnya ke rekening BCA lainnya.

Tampaknya, Iskandar tak sendirian. Peristiwa serupa juga dialami Johanes Biantara, 40 tahun, di Purwokerto, Jawa Tengah. Pada akhir November 2001, pemilik salon mobil itu terkejut ketika mengecek tabungannya. Ternyata, ada 103 transaksi perbankan melalui internet yang jumlah keseluruhannya senilai Rp 51.529.962 atas rekening Johanes. Padahal Johanes, yang juga selalu mengeklik Klik BCA di rumah, mengaku baru melakukan lima kali transaksi senilai Rp 14.909.962 lewat rekeningnya. Berarti, dana sebesar Rp 36.620.000 di rekening Johanes amblas disikat cracker (maling lewat internet).

Pengusaha kelahiran Surabaya itu segera mengeceknya ke BCA. Ee…, pimpinan cabang BCA justru menyalahkannya. Johanes dituding sembrono karena telah memberikan kode PIN (nomor identifikasi pribadi) ke-pada orang lain yang tak berhak. "Lo, apakah saya bego sampai memberitahukan kode PIN ke orang lain?" kata Johanes.

Menurut Johanes, berbagai transaksi dan mutasi atas rekeningnya amat misterius. Misalnya, ada pembelian pulsa prabayar Simpati, Mentari, dan Pro-XL atas nama Sudjoko Tapsir, Budi Utomo, dan William Yacob. Semua nama orang yang menggunakan rekening Johanes itu tak dikenalnya. Akhirnya, Johanes melaporkan rentetan pencurian itu ke Kepolisian Resor Banyumas. Johanes sendiri kini mengaku kapok bertransaksi di Klik BCA.

Sampai kini, apa sesungguhnya yang terjadi pada rekening dua nasabah BCA itu masih tak jelas. Keluhan Iskandar pun belum ditanggapi oleh BCA. Yang pasti, kasus-kasus itu cukup menunjukkan betapa rawannya keamanan komputer perbankan yang terhubung ke dunia maya.

Beberapa waktu lalu, sekitar Juni 2001, situs BCA di internet juga pernah "di-bobol" dan dipelesetkan alamatnya oleh Steven Haryanto, seorang web designer (perancang situs internet) di Bandung, Jawa Barat. Ia mengubah Klik BCA di www.klikbca.com dengan nama domain klikbca.com, kilkbca.com, clikbca.com, klickbca.com, dan klikbac.com.

Semua situs buatan Steven berfungsi layaknya situs asli Klik BCA. Bedanya, bila nasabah BCA memasukkan ID dan PIN serta mengeklik login, yang muncul adalah pesan error bertuliskan the page cannot be displayed. Bersamaan dengan itu, serentet data penting para nasabah pun terekam pada situs gadungan tersebut. Tapi, Steven tak terkabarkan sempat membobol rekening para pengguna situs BCA. Setelah kasus itu terungkap, ia mengembalikan ratusan data nasabah ke BCA.

Dengan menilik fenomena di atas, benarkah situs Klik BCA begitu rapuh terhadap pembobolan? Sejatinya, Klik BCA di www.klikbca.com menggunakan perangkat teknologi enkripsi atau pengacakan yang berbasis secure socket layer (SSL) 128 bit. Dengan teknologi ini, setiap informasi yang digunakan nasabah saat bertransaksi di internet melalui proses pengacakan tercanggih buatan VeriSign, spesialis software (peranti lunak) keamanan terkemuka di Amerika Serikat.

Keandalan enkripsi SSL 128 bit diakui di kalangan hacker (penjajal atau pengganggu jaringan internet) internasional karena andal untuk membendung aksi cracker. SSL diciptakan Netscape, jawara produsen peranti lunak penjelajah internet setelah Microsoft. Ia telah diadopsi oleh semua vendor yang memakai peranti lunak yang terhubung di internet. Teknologi ini menggabungkan sistem autentifikasi timbal balik antara web dan pengguna, pengacakan data, dan kesatuan data untuk keamanan transaksi.

Ketika bertransaksi, nasabah harus memasukkan nomor PIN dan identitas. Data tersebut, yang diklik pengguna, tak langsung meluncur ke server, tapi diacak dulu serta diubah menjadi deretan sembilan angka dari kombinasi kode berjumlah 2 berpangkat 128. Di pintu server, deretan kode itu kemudian diter-jemahkan (dekripsi) menjadi data semula. Proses enkripsi dan dekripsi oleh SSL secepat kilat sepersekian detik.

Agaknya, mustahil seseorang bisa membajak proses enkripsi dan dekripsi data. Tak mengherankan bila seorang hacker Indonesia yang sudah malang-melintang di dunia keamanan jaringan internet mengakui keandalan SSL 128 bit. "Sampai sekarang belum pernah ada yang mampu menembusnya," kata sang hacker. Hal serupa, tuturnya, juga terjadi pada Klik BCA, yang menerapkan metode enkripsi untuk internet banking.

Beberapa bulan lalu, hacker itu mengaku bersama kawan-kawannya melakukan "penelitian" untuk menjajal keamanan Klik BCA. Ternyata, menurut dia, situs BCA punya keamanan paling tinggi dibandingkan dengan situs bank lain, misalnya Bank Internasional Indonesia, yang pada akhir tahun 2001 ditembus oleh seseorang pada server perusahaannya.

Adakah itu berarti situs Klik BCA tak mungkin disalahkan? Entahlah. Bagi I Wayan S. Wicaksana, pengajar Jurusan Teknologi Informatika Universitas Gunadarma, Jakarta, belum tentu situs Klik BCA berteknologi SSL 128 demikian digdaya. Setidaknya, kata Wayan, untuk proses data dari tingkat nasabah ke server mungkin tergolong aman. Tapi, dari server ke BCA dan kemudian kembali ke nasabah?

Menurut Wayan, yang juga penasihat Trustix Indonesia, sebagai pengembang program Linux, data statistik tentang pembobolan data penting pada transaksi internet membuktikan bahwa kebocoran terbanyak adalah akibat faktor dalam. "Boleh jadi ada orang dalam BCA yang memberikan informasi ke luar. Bagaimanapun, sumber daya manusia internal bank itu merupakan faktor kunci keamanan jaringan komputernya," kata Wayan.

Sayangnya, faktor "orang dalam" ini pun masih kelabu. Soalnya, pihak BCA lagi-lagi enggan menjelaskan. Salah seorang staf di Biro Hubungan Masyarakat BCA hanya menyatakan bahwa masalah bobolnya rekening transaksi Klik BCA kini sedang diteliti. Berikutnya, lewat secarik keterangan pers, pihak BCA malah menganjurkan para nasabah agar berhati-hati.

Bagaimanapun, kejelasan kasus pembobolan situs Klik BCA menjadi penting, setidaknya bisa dijadikan pelajaran mahal oleh situs bank lain. Sementara ini, agaknya upaya pencegahan bisa dilakukan antara lain dengan menambah data nama dan tanggal lahir nasabah, selain kode pengguna (ID) dan PIN. Juga bisa dilengkapi dengan mekanisme mengganti password kedaluwarsa, umpamanya, setiap tiga bulan.

Wayan bahkan menambahkan, kalau perlu BCA juga menggunakan prosedur nomor transaksi, sebagaimana kini diterapkan oleh kalangan perbankan di Amerika. Nomor transaksi diberikan oleh pihak bank. Bisa saja bank memberikan 30 nomor transaksi kepada setiap nasabah per kurun waktu tertentu. Setiap nomor transaksi berupa deretan 10 angka acak.

Dengan demikian, kata Wayan, setiap transaksi harus memasukkan ID, PIN, dan nomor transaksi. Setiap usai digunakan, nomor transaksi akan langsung dimusnahkan. Setelah nasabah menggunakan semua nomor transaksinya, bank akan memberikan paket nomor transaksi berikutnya. Di Amerika, pengamanan dengan nomor transaksi terbukti meminimalkan kemungkinan pembajakan data nasabah.

Dwi Arjanto dan Syaiful Amin (Purwokerto)