Kartu Kredit tanpa Pengaman

20, August, 2003

Ada kelemahan pada sistem keamanan PIN yang membuat kartu kredit Anda bisa dibobol orang.

ANIL dan Vanitha Singh bekerja sebagai penjaga toko buku di Durban, Afrika Selatan. Mereka jarang bepergian ke luar negeri, bahkan sepanjang Maret 2000 tak pernah meninggalkan kotanya.

Karena itu, betapa kagetnya dua pekerja ini ketika seorang petugas Citibank Afrika Selatan menelepon untuk mengkonfirmasikan bahwa telah terjadi 190 kali transaksi automatic teller machine (ATM) dan penarikan uang tunai senilai US$ 80 ribu menggunakan kartu Diners Club atas nama mereka di sejumlah tempat di Inggris.

“Bagaimana mungkin kami melakukan transaksi ATM di London, sementara kami tidak berada di sana?” ujar Anil Singh gusar. Namun pihak bank tak mau tahu. Dengan alasan keduanya telah melakukan penipuan, kartu mereka ditarik oleh bank. Dua nasabah Citibank ini ngotot membela diri.

Awalnya pihak bank bisa diyakinkan, tapi kemudian berubah pikiran. Selain menggugat nasabahnya, bank meminta mereka mengembalikan uang senilai penarikan itu. Citibank, selaku pengelola Diners Club secara internasional, meminta Pengadilan Tinggi London menyidangkan kasus ini. Sidang pertamanya mulai digelar Senin, 3 Maret ini. Dalam gugatannya, pihak bank berargumentasi, “Sistem bank aman, jadi Singh patut diduga melakukan penipuan.”

Benarkah sistem keamanan bank bisa dijamin? Sejumlah pakar keamanan perbankan tidak berani memastikan dan karena itu bersedia menjadi saksi ahli yang akan meringankan pasangan Sing ini. Seorang peneliti sistem keamanan bank dari Universitas Cambridge, Ross Anderson, dan mahasiswa bimbingannya, Michael Bond dan Piotr Zielinski, berkeyakinan bahwa penarikan yang disebut “penarikan hantu” (phantom withdrawal) itu bukan dilakukan oleh Singh dan bukan akibat kelalaiannya hingga kartu tersebut hilang dan disalahgunakan orang lain. “Ini justru masalah sistem keamanan bank itu sendiri,” ujar Anderson.

Masalah ini sudah diteliti oleh Bond dan Zielinski dan temuannya baru saja dipublikasikan. Ternyata ada sejumlah kelemahan dalam modul keamanan yang digunakan bank dalam melindungi personal identification number (PIN) nasabahnya dari kemungkinan pembobolan–bisa oleh orang dalam bank sendiri ataupun penyerang dari luar. Logikanya sangat sederhana: seorang nasabah tidak boleh keliru memasukkan PIN ketika melakukan transaksi di ATM.

Jika sampai tiga kali keliru, otomatis kartunya akan “tertelan” mesin ATM. Tapi tidak demikian dengan karyawan bank penerbit kartu. Karena itu, sistem semacam ini akan memudahkan karyawan bank “menggunakan program sederhana untuk membongkar PIN nasabahnya sendiri,” demikian tulis NewScientist.com.

Pembobolan ini memanfaatkan kelemahan pada model kriptografi yang digunakan oleh sejumlah hardware security module (HSM) dalam mengenkripsi, menyimpan, dan membaca PIN. Sistem ini akan membaca nomor account nasabah yang terdapat di dalam pita magnetis di kartu ATM. Software ini kemudian akan mengenkripsi nomor tersebut menggunakan sebuah kunci desimal. Seluruh nomor
account tersebut dikonversikan menjadi bentuk heksadesimal, kecuali empat digit pertama–yang tidak diubah sama sekali.

Empat digit ini lalu dimasukkan ke dalam sebuah tabel desimal dan kemudian dikonversikan kembali menjadi format yang sesuai dengan keypad ATM. Dengan memanipulasi isi tabel ini, kata Bond, sangat mungkin seorang pembobol secara progresif mengetahui sekian banyak PIN. “Dengan berbagai skema yang digambarkan dalam paper saya, seorang pembobol berpengalaman akan dapat menyikat
7.000 PIN dalam setengah jam saja sambil istirahat makan siang,” ujarnya. Jika PIN sudah di tangan, sang penyamun tinggal memesan atau membuat sendiri kartu yang akan dimasukkan ke ATM untuk bertransaksi.

Sebegitu lemahkah sistem keamanan PIN? Kelihatannya begitu setelah melihat reaksi pihak Citibank. Mereka tidak membantahnya, tapi malah meminta temuan itu tidak disebarluaskan karena akan mengurangi minat orang terhadap bank dan akan menghancurkan kredibilitas bisnis perbankan secara keseluruhan. “Mereka juga meminta persidangan yang melibatkan saksi ahli dari Cambridge ini dilakukan secara rahasia,” tulis Eweek.com.

Tapi Anderson cs dengan tegas menolak. Sebab, hasil penelitian tersebut sudah dipublikasikan secara luas dan merupakan bagian dari disertasi doktor kedua mahasiswanya itu. “Upaya menyensor jalannya persidangan kasus ini akan berdampak buruk terhadap masa depan studi keamanan sistem bank,” ujar Anderson.

Dengan sudah disebarluaskannya temuan ketiga peneliti tadi, boleh jadi Anil dan Vanitha Singh akan bebas dari segala tuntutan. Kali ini, bandul beralih ke Citibank, yang bisa digugat balik.

Budi Putra

TEMPO Edisi 030309-001/Hal. 50      Rubrik Teknologi Informasi

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: