Jakarta, Kondusif – Media sosial tengah ramai membahas dugaan lemahnya sistem keamanan situs Coretax, layanan pendaftaran Nomor Pokok Wajib Pajak (NPWP) milik Direktorat Jenderal Pajak (DJP) Kementerian Keuangan.
Seorang warganet mengklaim berhasil membuat NPWP hanya dalam satu detik melalui teknik permintaan API sederhana, memicu pertanyaan soal keamanan platform tersebut.
Dalam unggahan di media sosial Thread, warganet itu menjelaskan bahwa ia hanya memasukkan Nomor Induk Kependudukan (NIK) tanpa validasi tambahan.
“Dari kemarin susah akses, tapi tadi berhasil. Saya coba post request API pakai Node.js, dan boom! Satu detik jadi!” tulisnya.
Unggahan tersebut sontak memicu diskusi luas di kalangan pengguna media sosial.
Banyak yang mempertanyakan absennya security token atau mekanisme keamanan lain dalam API Coretax.
“Lah ini API nggak ada security token?” tanya seorang warganet.
Pengunggah pun menegaskan, “Bener-bener polosan langsung sukses. Tadi coba pakai nama ‘Test Bug’, dan hasilnya benar-benar ‘Test Bug’ tanpa validasi di create endpoint-nya.”
DJP: Sedang Ditindaklanjuti
Menanggapi temuan ini, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP, Dwi Astuti, mengatakan bahwa pihaknya telah menindaklanjuti laporan tersebut.
“Saat ini sedang dalam penanganan oleh tim terkait,” kata Dwi saat dikonfirmasi, Rabu (5/2/2025).
Namun, ketika ditanya apakah benar situs Coretax tidak memiliki keamanan API, Dwi tidak memberikan jawaban langsung.
Ia hanya menyarankan agar wajib pajak yang mengalami kendala dalam pendaftaran NPWP bisa menghubungi Kring Pajak di 1500200 atau mendatangi kantor pajak terdekat.
Pakar Keamanan Siber: Sangat Berbahaya
Praktisi keamanan siber, Alfons Tanujaya, menilai sistem tanpa keamanan API sangat rentan terhadap berbagai serangan siber.
“Kalau situs tidak dilengkapi security token, ini bahaya sekali. Segala macam serangan bisa dilakukan terhadap laman tersebut,” ujarnya. Kamis, (06/02/2025).
Menurut Alfons, serangan yang bisa terjadi antara lain pencurian data, perubahan informasi sensitif, hingga serangan injeksi SQL yang bisa memanipulasi sistem.
“Apalagi kalau komunikasi tidak dienkripsi, penyerang bisa menyusup, mengubah, atau menyisipkan konten berbahaya ke dalam sistem,” jelasnya.
Respon (1)