Kliring transaksi Kudo dinilai tidak dilakukan secara real time sehingga memungkinkan dilakukan pembobolan.
Keamanan Siber dan Media Sosial Kun Arief mengungkap pembobolan terjadi ketika aplikasi transaksi digunakan oleh klien dan autentikasi. Pembobolan juga dilakukan karena kliring transaksi tidak dilakukan secara real time.
“Permasalahannya adalah ketika proses kliring transaksi tidak dilakukan secara real time antara pihak platform, pemilik aplikasi dan pihak bank,” Ujar Kun Arief.
Kun mengatakan hal ini menimbulkan celah keamanan bagi peretas untuk memanipulasi data nilai atau angka yang dikirim ke server bank dengan nilai atau angka yang tidak terbaca.
“Triknya sederhana, bisa cukup menambahkan karakter pada nilai atau angka yang dikirim sehingga server bank tidak bisa mengkonfirmasi besaran nilai atau angka yang diterima. Hal itulah kenapa nilai saldo tidak berubah,” kata Kun.
Kun mengatakan biasanya setiap sore atau tengah malam, pihak bank akan melakukan clearing house. untuk melakukan pengecekan terhadap data-data yang tidak bisa di input.
“Entah tidak bisa di input karena kesalahan nomor rekening atau kesalahan data nilai atau angka,” katanya.
Saat melakukan clearing house seharusnya pihak Bank langsung mengetahui data yang tidak bisa di input. Namun Bank BUMN tidak mengetahui, artinya peretas juga memanipulasi data rekening virtual.
“Artinya peretas tersebut selain memanipulasi data nilai atau angka, juga termasuk memanipulasi data rekening virtual sehingga pihak bank pun tidak bisa melakukan clearance terhadap data tersebut. Bukan hanya sehari atau dua hari, tapi hingga berbulan-bulan,” ujar Kun.