Tak kunjung ada penjelasan dari Bank Syariah Indonesia, baik secara langsung maupun lewat kanal-kanal media sosialnya, Tempo.co membawa soal yang sama ke meja layanan nasabah pada Jumat, 19 Mei 2023. Cabang bank yang dipilih berada di Jakarta Pusat dan keadaan sepi pada pagi itu dengan hanya terlihat seorang nasabah yang tengah dilayani.

Keluhan soal top up e-wallet disampaikan di hadapan seorang petugas sambil memperlihatkan gambar promosi yang bertulis, “Alhamdulillah, sejak Kamis 11 Mei 2023, BSI Mobile sudah pulih kembali.” Disebutkan seluruh 19 fitur telah pulih dan menyatakan nasabah kini dapat melakukan transaksi kembali.

Indah, nama petugas itu, mengakui bahwa sebenarnya BSI Mobile belum kembali optimal untuk beberapa menu di dalamnya. Menurut Indah, yang bisa digunakan adalah cek saldo, info rekening, transfer ke sesama BSI dan transfer ke bank lain. “Kalau top up, e-wallet, pembayaran dan pembelian untuk sementara jangan dulu digunakan,” katanya.

Perihal info pada media promosi yang dirilis perusahaan sebelumnya, Indah berdalih, sistem masih naik turun alias on-off. “Saya sendiri ikut arahan dari atas, sebagai CS tidak paham sistem sedang on atau off,” katanya sambil menambahkan kalau dirinya sebagai pengguna BSI Mobile belum berani mencoba fitur-fitur tersebut.

Ajakan BSI Ubah PIN dan Password

Sebelumnya, sehari setelah kelompok ransomware akhirnya menyebar data milik BSI dan para nasabahnya ke dark web pada 16 Mei lalu–karena gagal mendapat tebusan uang untuk membuka enkripsi data yang membelenggu sistem dan layanan di BSI, bank itu menyapa para nasabahnya lewat aplikasi WhatsApp. BSI mengajak untuk mengubah PIN dan password.

“Untuk memastikan kenyamanan dan keamanan transaksi Anda, mohon melakukan penggantian Password dan PIN secara berkala,” demikian bunyi ajakan pada 17 Mei  2023. Bank itu juga meminta nasabah selalu waspada terhadap akun palsu atau pihak-pihak yang mengatasnamakan Bank Syariah Indonesia. “Jika terdapat hal-hal yang mencurigakan, segera menghubungi BSI Call 14040.”

Tempo.co memilih memenuhi imbauan penggantian PIN dan kata kunci BSI Mobile di hadapan Indah. Untuk pergantian pertama, PIN, berjalan sukses. Pergantian berikutnya adalah kata kunci yang sayangnya gagal karena password yang biasa digunakan dianggap tidak cocok.

Bank Syariah Indonesia membuat pengumuman untuk aplikasi BSI Mobile. Pengumuman di tengah rundungan serangan ransomware itu dipertanyakan oleh para nasabahnya. (Tangkapan Layar)

Indah kemudian meminta uninstall aplikasi BSI Mobile di ponsel lalu diunduh kembali dari Google Play Store. Seluruh data diinput ulang, begitu juga dengan foto diri aktual. Setelah semua dilakukan, PIN dan kata sandi baru pun bisa digunakan.

Serangan ransomware telah membuat sistem BSI error. Sempat berdalih dengan menyatakan ada perawatan sistem internal, error yang berjalan berhari-hari menguatkan kalau bank itu telah menjadi korban ransomware dengan indikasi seluruh datanya–hingga ke data back up yang sudah terenkripsi.

Kelompok bernama Lockbit mengaku bertanggung jawab dan terbukti lewat data-data milik BSI yang kemudian disebarnya. Kelompok ini mengumumkan menguasai 15 juta catatan pelanggan, informasi karyawan, dan sekitar 1,5 terabyte data internal.