[비즈한국] Woori Bank terlibat dalam kontroversi kebocoran informasi pribadi nasabah. Kebocoran tersebut terjadi di pihak ketiga yang menangani data pribadi dalam proyek pengembangan platform Non-Fungible Token (NFT) Woori Bank, yang menyebabkan CI (Connecting Information/Informasi Penghubung) milik 17.551 nasabah Woori Bank terekspos ke pihak luar. Meski kebocoran tidak terjadi di dalam internal bank, insiden yang terjadi pada perusahaan mitra yang dipercayakan mengelola data pribadi ini membuat Woori Bank sulit menghindari kontroversi terkait tanggung jawab pengelolaan dan pengawasan data pribadi.

Pada tanggal 3, terungkap bahwa informasi pribadi 17.551 nasabah Woori Bank telah bocor. Data yang bocor adalah milik nasabah yang setuju memberikan informasi pribadi dalam layanan platform NFT Woori Bank. Informasi yang bocor terbatas pada nama panggilan (nickname) dan informasi penghubung (CI) dalam layanan platform NFT, sedangkan data seperti nama asli, nomor registrasi penduduk, dan alamat tidak termasuk. CI adalah nilai identifikasi pribadi yang dibuat oleh lembaga verifikasi identitas berdasarkan nomor registrasi penduduk, dan digunakan untuk memverifikasi apakah seseorang merupakan pengguna yang sama di berbagai layanan daring.
Kebocoran ini terjadi akibat ulah seorang karyawan Blocko, sub-kontraktor yang menangani proyek pengembangan platform NFT Woori Bank pada tahun 2024. Meskipun proyek telah berakhir, karyawan Blocko yang masih menyimpan data pribadi secara sewenang-wenang mengunggah tautan file berisi informasi pribadi tersebut ke platform pengembang pada September 2025.
Woori Bank dan Blocko menyadari situasi tersebut pada 30 Juni setelah mengetahui adanya kebocoran, lalu mengambil tindakan seperti melapor ke Komisi Perlindungan Informasi Pribadi dan memblokir tautan file informasi pribadi tersebut. Pada tanggal 3, Blocko mengunggah pemberitahuan dan permohonan maaf terkait kebocoran informasi di situs web resminya. Blocko menjelaskan, "Sebagai sub-kontraktor yang melaksanakan proyek pengembangan platform NFT Woori Bank dari September 2024 hingga Februari 2025, kami menangani informasi pribadi pengguna layanan tersebut," dan menambahkan, "Pada September 2025, karena kelalaian karyawan kami, tautan file yang berisi nama panggilan dan CI pengguna telah bocor."
CI adalah nilai yang dienkripsi dari nomor registrasi penduduk untuk mengidentifikasi individu di internet, sering disebut sebagai 'nomor registrasi penduduk daring'. CI saja tidak dapat digunakan untuk mengidentifikasi individu secara spesifik atau diubah menjadi nomor registrasi penduduk. Namun, jika digabungkan dengan informasi lain yang bisa mengidentifikasi identitas seperti data pribadi yang sudah bocor sebelumnya, informasi ini bisa disalahgunakan.
Woori Bank telah memberikan pemberitahuan secara individual kepada para nasabah yang terdampak. Woori Bank menyatakan, "Untuk mencegah kerugian, harap berhati-hati saat menerima telepon dari sumber tidak jelas atau mengeklik tautan URL dalam pesan teks," dan menambahkan, "Jika terjadi kerugian akibat kebocoran ini, kami akan melakukan verifikasi dan memberikan kompensasi." Menurut pihak bank, sejauh ini belum ditemukan kasus penyalahgunaan data akibat kebocoran tersebut.

Meskipun insiden tidak terjadi di dalam internal bank, potensi kerugian nasabah membuat Woori Bank sulit menghindari kontroversi tanggung jawab. Kritikan muncul terutama karena data pribadi yang diserahkan ke pihak luar berada dalam titik buta pengawasan. Fakta bahwa Woori Bank dan Blocko baru menyadari kebocoran ini setelah lebih dari 9 bulan sejak insiden terjadi juga menjadi masalah. Otoritas keuangan yang menerima laporan tersebut dikabarkan telah meminta Woori Bank untuk melakukan pemeriksaan mandiri terkait insiden tersebut.
Woori Bank menjelaskan bahwa mereka menerapkan langkah-langkah pengelolaan keamanan melalui berbagai tahap saat mengerjakan proyek dengan pihak luar. Pada tahap awal proyek, mereka menerima surat pernyataan keamanan dari pihak luar yang menyatakan bahwa mereka tidak akan menggunakan atau membocorkan informasi proyek secara sembarangan. Selama proyek berlangsung, departemen perlindungan informasi bank mengadakan pelatihan keamanan sebulan sekali bagi karyawan pihak luar yang berpartisipasi. Setelah proyek selesai, mereka menerima surat konfirmasi penarikan dari pihak luar, dan perangkat keras komputer yang digunakan akan ditarik kembali lalu diformat seluruhnya.
Woori Bank dan Blocko menegaskan, "Informasi yang bocor bukanlah ID anggota atau informasi akun masuk, dan CI saja tidak bisa mengidentifikasi individu tertentu." Namun, kekhawatiran pengguna meningkat karena insiden kebocoran data pribadi terus terjadi di berbagai sektor belakangan ini. Terutama setelah insiden Juni lalu di mana data sensitif seperti nama, tanggal lahir, kontak, ID, email, hingga CI dari lebih dari 19 juta anggota Tving bocor secara massal, sehingga kemungkinan penyalahgunaan data Woori Bank yang dikaitkan dengan data lain tidak bisa dikesampingkan.
Setelah insiden terjadi, Woori Bank menyatakan melalui pengumumannya, "Kami akan menjadikan kebocoran ini sebagai pelajaran untuk melakukan pemeriksaan menyeluruh terhadap status pengelolaan data pribadi di perusahaan pengembang dan memperbaiki segala kekurangan."
Sementara itu, seiring dengan berulangnya kasus kebocoran CI nasabah di perusahaan-perusahaan domestik, muncul gerakan untuk menghentikan pengumpulan CI yang tidak perlu dan menuntut penghapusan CI. Kelompok seperti Digital Justice Network, Komite Informasi Digital dari Lawyers for a Democratic Society, Institute for Information Rights, dan People's Solidarity for Participatory Democracy menyatakan dalam kampanye mereka bulan Juni lalu bahwa, "Perusahaan memperlakukan CI sebagai informasi wajib untuk dikumpulkan, padahal CI sama sekali bukan informasi yang esensial untuk penyediaan layanan. Perusahaan domestik hanya mengumpulkannya demi kemudahan," klaim mereka.
Mereka menuntut langkah-langkah perbaikan dengan mengatakan, "Sulit untuk memprediksi kerugian apa yang akan timbul akibat kebocoran CI skala besar di masa depan. Perusahaan harus menghapus atau menonaktifkan CI korban kebocoran. Pemerintah harus menyelidiki praktik perusahaan yang mengumpulkan lalu membocorkan CI, serta memungkinkan orang yang ingin mengubah CI mereka untuk melakukannya."