Jakarta, Kondusif – Media sosial tengah ramai membahas dugaan lemahnya sistem keamanan situs Coretax, layanan pendaftaran Nomor Pokok Wajib Pajak (NPWP) milik Direktorat Jenderal Pajak (DJP) Kementerian Keuangan.
Seorang warganet mengklaim berhasil membuat NPWP hanya dalam satu detik melalui teknik permintaan API sederhana, memicu pertanyaan soal keamanan platform tersebut.
Dalam unggahan di media sosial Thread, warganet itu menjelaskan bahwa ia hanya memasukkan Nomor Induk Kependudukan (NIK) tanpa validasi tambahan.
“Dari kemarin susah akses, tapi tadi berhasil. Saya coba post request API pakai Node.js, dan boom! Satu detik jadi!” tulisnya.
Unggahan tersebut sontak memicu diskusi luas di kalangan pengguna media sosial.
Banyak yang mempertanyakan absennya security token atau mekanisme keamanan lain dalam API Coretax.
“Lah ini API nggak ada security token?” tanya seorang warganet.
Pengunggah pun menegaskan, “Bener-bener polosan langsung sukses. Tadi coba pakai nama ‘Test Bug’, dan hasilnya benar-benar ‘Test Bug’ tanpa validasi di create endpoint-nya.”
DJP: Sedang Ditindaklanjuti
Menanggapi temuan ini, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP, Dwi Astuti, mengatakan bahwa pihaknya telah menindaklanjuti laporan tersebut.
“Saat ini sedang dalam penanganan oleh tim terkait,” kata Dwi saat dikonfirmasi, Rabu (5/2/2025).
Namun, ketika ditanya apakah benar situs Coretax tidak memiliki keamanan API, Dwi tidak memberikan jawaban langsung.
Ia hanya menyarankan agar wajib pajak yang mengalami kendala dalam pendaftaran NPWP bisa menghubungi Kring Pajak di 1500200 atau mendatangi kantor pajak terdekat.
Pakar Keamanan Siber: Sangat Berbahaya
Praktisi keamanan siber, Alfons Tanujaya, menilai sistem tanpa keamanan API sangat rentan terhadap berbagai serangan siber.
“Kalau situs tidak dilengkapi security token, ini bahaya sekali. Segala macam serangan bisa dilakukan terhadap laman tersebut,” ujarnya. Kamis, (06/02/2025).
Menurut Alfons, serangan yang bisa terjadi antara lain pencurian data, perubahan informasi sensitif, hingga serangan injeksi SQL yang bisa memanipulasi sistem.
“Apalagi kalau komunikasi tidak dienkripsi, penyerang bisa menyusup, mengubah, atau menyisipkan konten berbahaya ke dalam sistem,” jelasnya.
Ia juga menyayangkan lemahnya keamanan pada sistem milik pemerintah ini.
“Seharusnya tidak separah ini ya. Memang harus mendapat audit secara tuntas daripada berkembang menjadi bola liar dan berdampak buruk bagi citra pemerintahan,” tegas Alfons.
Programmer: Anggaran Fantastis, Keamanan Seharusnya Kelas Wahid
David Alfa Sunarna, seorang programmer nasional, turut angkat bicara.
Ia menilai dengan anggaran yang besar, seharusnya Coretax memiliki keamanan tingkat tinggi.
“Jangan sampai sistem yang menyangkut uang negara malah rawan bobol,” kritiknya.
Ia juga menyoroti aspek teknis lain dari Coretax, termasuk arsitektur server yang berjalan.
“Saya melihat Nginx-nya berjalan di arsitektur yang tidak scalable. Untuk sistem sebesar Coretax, seharusnya mereka pakai teknologi seperti Kubernetes atau setidaknya VPS dengan vertical dan horizontal scaling,” ungkapnya.
Lihat postingan ini di Instagram
David juga menekankan pentingnya penggunaan Content Delivery Network (CDN) agar sistem lebih stabil dan cepat terakses.
“CDN itu bukan cuma buat serve static content. Sistem besar kayak Coretax harus pakai CDN yang enterprise scale dan memanfaatkan data center di Indonesia agar aksesnya lebih cepat dan tidak mudah down.”
Dampak bagi Wajib Pajak
Keamanan situs pajak yang lemah bisa berdampak besar, termasuk penyalahgunaan data pribadi dan manipulasi sistem administrasi pajak.
Temuan ini memicu kekhawatiran luas di kalangan masyarakat, terutama terkait keamanan informasi sensitif yang tersimpan dalam sistem pemerintah.
Hingga kini, DJP belum memberikan penjelasan detail terkait langkah perbaikan yang akan mereka lakukan.
Namun, banyak pihak berharap pemerintah segera memperbaiki celah keamanan ini agar kepercayaan publik terhadap sistem perpajakan tetap terjaga.
Respon (0)