RAKYATSULSEL - Lini masa media sosial X (sebelumnya Twitter) ramai membahas soal dugaan situs Coretax yang tidak dilengkapi dengan sistem keamanan API yang memadai. API (Antarmuka Pemrograman Aplikasi) adalah mekanisme penting yang digunakan untuk menghubungkan berbagai aplikasi dan memungkinkan pengelolaan data. Keamanan API sangat penting untuk melindungi data pengguna dan mencegah serangan siber.
Spekulasi ini mulai muncul setelah seorang warganet di platform Meta Thread mengungkapkan pengalamannya dalam membuat NPWP (Nomor Pokok Wajib Pajak) hanya dalam satu detik. Pengguna tersebut mengklaim bahwa mereka berhasil mengakses sistem Coretax dengan menggunakan node.js untuk membuat post request API tanpa adanya validasi atau token keamanan. "Dari kmaren nyoba mau buat NPWP lewat web Coretax, dan tadi sekalinya berhasil saya langsung coba buat post request API pake nodejs dan booom 1 detik jadi!" ujar pengunggah tersebut.
Menurutnya, hanya dengan data Nomor Induk Kependudukan (NIK) dan informasi terkait lainnya, NPWP dapat dibuat dan langsung dikirim ke email tanpa perlu validasi lebih lanjut. "Lah ini API gaada security token dll," tulisnya, mengindikasikan bahwa situs tersebut kekurangan pengamanan dasar dalam proses pembuatan NPWP secara otomatis.
Penjelasan dari DJP Kemenkeu
Menanggapi temuan ini, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP (Direktorat Jenderal Pajak) Dwi Astuti mengatakan bahwa pihaknya tengah menindaklanjuti dugaan tersebut. "Saat ini sedang dalam penanganan oleh tim terkait," ujarnya. Namun, ketika ditanya apakah situs Coretax memang tidak dilengkapi dengan sistem keamanan API, Dwi Astuti tidak memberikan penjelasan lebih lanjut. Sebagai solusi bagi Wajib Pajak yang mengalami kesulitan, Dwi menyarankan untuk menghubungi Kring Pajak di nomor 1500200 atau mengirimkan formulir pendaftaran NPWP melalui pos ke kantor pajak terdekat.
Potensi Bahaya Tanpa Keamanan API
Menurut Alfons Tanujaya, seorang praktisi keamanan siber, ketidakhadiran sistem keamanan API pada situs seperti Coretax bisa menimbulkan dampak serius. "Waduh, kalau situs tidak dilengkapi security token ya bahaya sekali. Segala macam serangan bisa dilakukan terhadap laman tersebut," ujar Alfons. Tanpa adanya lapisan pengamanan API, situs menjadi sangat rentan terhadap berbagai ancaman, seperti:
- Serangan Siber: Pelaku dapat mengakses data dan fungsi sensitif, seperti informasi pribadi atau data NPWP.
- Manipulasi Data: Pelaku bisa mengubah, menghapus, atau mencuri informasi sensitif.
- Serangan Injeksi: Seperti SQL injection atau command injection, yang dapat digunakan untuk mengakses atau merusak sistem.
- DDoS (Distributed Denial of Service): Serangan dengan meminta data berulang kali yang bisa melumpuhkan API dan mengganggu akses pengguna.
- Penyusupan ke Sistem: Jika komunikasi tidak dienkripsi dengan baik, penyerang bisa mengakses dan memanipulasi API serta response API yang dikirim.
Alfons juga menyoroti bahwa pemerintah harus segera melakukan audit dan memperbaiki masalah ini sebelum berdampak lebih besar. "Seharusnya tidak separah ini ya. Memang harus diaudit secara tuntas daripada berkembang menjadi bola liar dan berdampak buruk bagi citra pemerintahan," ujarnya.
