Het datalek, dat volgens een cyberbeveiligingsdeskundige de ergste was bij een financiële instelling in het land, is de laatste in een reeks lekken bij Indonesische bedrijven en overheidsinstellingen in de afgelopen jaren.

BSI, een van de top 10 kredietverstrekkers in Indonesië, bevestigde in een verklaring niet dat zijn gegevens waren uitgelekt, maar zei dat het "bezig was met herstel-, audit- en mitigatie-inspanningen zodat soortgelijke verstoringen zich niet voordoen".

"We hopen dat klanten rustig kunnen blijven omdat we kunnen verzekeren dat hun gegevens en fondsen veilig blijven, en dat transacties veilig zijn", aldus de bank.

De financiële diensten van de bank werden op 8 mei verstoord, voegde de bank eraan toe, waaronder geldautomaatopnames en online bankieren, als gevolg van een "storing" in het systeem, maar dat het probleem op 9 mei was opgelost.

Volgens cyberbeveiligingsdeskundige Teguh Aprianto en een in Singapore gevestigd techbeveiligingsbedrijf DarkTracer heeft hackersgroep LockBit 3.0 de verantwoordelijkheid voor de aanval opgeëist.

LockBit, die in het verleden Franse defensie- en technologiegroep Thales als doelwit had, zei dat het op 8 mei toegang had gekregen tot BSI-gegevens en deze dinsdag online had gepubliceerd.

Reuters kon de bewering van de groep niet onafhankelijk verifiëren.

De Indonesische krant Tempo zei dat het een aantal van de gelekte gegevens had geverifieerd bij klanten van BSI.

"Dit is de ergste aanval op een bank," zei Teguh , een cyberbeveiligingsconsultant die in het verleden onder andere een lokale bank en verschillende financiële techbedrijven als klant had. Hij voegde eraan toe dat de gelekte gegevens onder andere rekeninghouders, nummers, saldi en transactiehistories bevatten.

De Indonesische Financial Services Authority heeft niet gereageerd op een verzoek om commentaar op het BSI datalek.