TEMPO.CO, Jakarta - Ketua Lembaga Riset Keamanan Siber dan Komunikasi atau CISSReC, Pratama Persadha, merespons sanggahan Direktorat Jenderal Pajak (DJP) soal adanya indikasi kebocoran data Nomor Pokok Wajib Pajak (NPWP) dari sistem informasi instansi itu. Dia meyakini kebocoran data itu diduga berasal dari data milik DJP.

Dia meragukan sanggahan DJP itu. Sebab, menurut dia, format tabel data yang bocor adalah format data DJP.

Adapun format tabel data yang bocor itu bertuliskan "NIK", "NPWP", "NAMA", "ALAMAT", "KELURAHAN", "KECAMATAN", "KABKOT", "PROVINSI", "KODE_KLU", "KLU", "NAMA_KPP", "NAMA_KANWIL", "TELP", "FAX", "EMAIL", "TTL", "TGL_DAFTAR", "STATUS_PKP", "TGL_PENGUKUHAN_PKP", "JENIS_WP", "BADAN HUKUM".

Pakar keamanan siber ini menilai, tidak ada lembaga lain selain DJP, yang memiliki data serta nomenklatur seperti yang dibocorkan oleh peretas itu. Karena itu, dia meminta agar DJP harus bisa menjelaskan ke publik.

"Lembaga mana yang memiliki data selengkap ini. Karena bisa jadi ada kelalaian dalam sharing data Wajib Pajak," ujarnya saat dihubungi, Selasa, 24 September 2024.

Terlebih lagi, menurut dia, jumlah data yang bocor sebanyak 6,6 juta data NPWP. Besarnya jumlah data yang bocor, kata dia, mustahil jika diambil hanya dari kantor cabang DJP atau wilayah lain.

"Yang bisa menyimpan data selengkap itu hanyalah server utama DJP," ucap Pratama.

Dalam sanggahannya, DJP menyinggung soal data log access sejak enam tahun terakhir yang menunjukkan tidak ada indikasi kebocoran data langsung dari sistem informasi. Pratama meragukan klaim tersebut.

Menurut dia, justru ada kemungkinan mesin deteksi atau sensor pada sistem informasi DJP tidak berfungsi dengan benar. Kemungkinan lain, kata dia, tim IT milik DJP tidak berkompeten sehingga tidak mampu mendeteksi adanya serangan siber.

Dugaan pembobolan data itu disampaikan oleh pemilik Ethical Hacker Indonesia, Teguh Aprianto, dalam unggahannya di akun X (Twitter) @secgron, Rabu, 18 September 2024. Dia menyebut data yang diduga dibocorkan Bjorka tidak hanya NPWP, tetapi Nomor Induk Kependudukan (NIK), nomor ponsel, alamat surel (email), hingga alamat rumah.

“NPWP milik Jokowi, Gibran, Kaesang, Menkominfo (Menteri Komunikasi dan Informatika), Sri Mulyani, dan menteri lainnya juga dibocorkan di sampel yang diberikan oleh pelaku,” cuit @secgron.

Teguh menjelaskan bahwa 6.663.379 data NPWP tersebut diperjualbelikan dengan harga US$ 10.000 atau sekitar Rp 150 juta (kurs Rp 15 ribu per dolar AS). Dia juga menyertakan tangkapan layar unggahan Bjorka di Breach Forums yang memberikan 10 ribu data sampel dengan total ukuran file sebesar 2 GB.

Berdasarkan pantauan, dari 25 data sampel teratas, terdapat nama-nama pejabat, seperti Presiden Jokowi, wakil presiden terpilih periode 2024-2029 Gibran Rakabuming Raka, putra bungsu Presiden Jokowi, Kaesang Pangarep, Menkominfo Budi Arie Setiadi, dan Menteri Keuangan (Menkeu) Sri Mulyani Indrawati.

PIlihan Editor: 6 Juta Data NPWP Bocor, Kominfo Sebut Hukuman Denda Maksimal Rp 5 Miliar dan Penjara 5 Tahun