TEMPO.CO, Jakarta - Lembaga Riset Keamanan Siber dan Komunikasi atau CISSReC mengkritik Direktorat Jenderal Pajak (DJP) dalam menangani dugaan kebocoran data Nomor Pokok Wajib Pajak (NPWP) beberapa waktu lalu. Sebanyak 6,6 juta data NPWP yang diduga dari server DJP dibocorkan oleh peretas Bjorka.

Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP, Dwi Astuti menyanggah adanya indikasi kebocoran data dari sistem informasi mereka. Untuk mencegah terjadinya kebocoran data, ia mengimbau masyarakat wajib pajak untuk menjaga keamanan data masing-masing, serta melapor apabila menemukan dugaan kebocoran data melalui kanal pengaduan resmi DJP.

"Antara lain dengan memperbarui antivirus, mengubah kata sandi secara berkala, dan menghindari baik mengakses tautan maupun mengunduh file mencurigakan agar terhindar dari pencurian data," kata Dwi dalam keterangan tertulis, dikutip Selasa, 24 September 2024.

Ketua CISSReC, Pratama Persadha mengatakan saran DJP mengubah kata sandi untuk mencegah terjadinya kebocoran data tidak relevan. Sebab, menurut dia, kebocoran data NPWP bukan terjadi pada akun pengguna wajib pajak.

Pratama mengatakan, bobolnya data NPWP ini justru terjadi pada sistem server milik DJP. "Harusnya DJP yang lebih memperkuat sistemnya, termasuk user login-nya," ujarnya ketika dihubungi, Selasa, 24 September 2024.

Alih-alih menyanggah, ia menyarankan kepada DJP untuk segera memitigasi kebocoran data NPWP tersebut. Terlebih lagi, ujarnya, tindakan mitigasi sudah diperintahkan langsung oleh Presiden Jokowi.

"(Atau) minimal menginformasikan ke 6,6 juta wajib pajak yang datanya bocor untuk waspada terhadap potensi penipuan. Bukan malah sibuk membantah," kata pakar keamanan siber ini.

Dugaan pembobolan data itu disampaikan oleh pemilik Ethical Hacker Indonesia, Teguh Aprianto, dalam unggahannya di akun X (Twitter) @secgron, Rabu, 18 September 2024. Dia menyebut data yang diduga dibocorkan Bjorka tidak hanya NPWP, tetapi Nomor Induk Kependudukan (NIK), nomor ponsel, alamat surel (email), hingga alamat rumah.

“NPWP milik Jokowi, Gibran, Kaesang, Menkominfo (Menteri Komunikasi dan Informatika), Sri Mulyani, dan menteri lainnya juga dibocorkan di sampel yang diberikan oleh pelaku,” cuit @secgron.

Teguh menjelaskan bahwa 6.663.379 data NPWP tersebut diperjualbelikan dengan harga US$ 10.000 atau sekitar Rp 150 juta (kurs Rp 15 ribu per dolar AS). Dia juga menyertakan tangkapan layar unggahan Bjorka di Breach Forums yang memberikan 10 ribu data sampel dengan total ukuran file sebesar 2 GB.

“Field di dalam sampel, NIK, NPWP, nama, alamat, kelurahan, kecamatan, kabupaten/kota, provinsi, kode_klu (klasifikasi lapangan usaha), klu, nama_kpp (kantor pelayanan pajak), nama_kanwil (kantor wilayah), telepon, faksimile, email, tempat dan tanggal lahir, tanggal_daftar, status_pkp (pengusaha kena pajak), tanggal_pengukuhan_ pkp, jenis_wp (wajib pajak), badan_hukum,” kata Teguh.

Berdasarkan pantauan, dari 25 data sampel teratas, terdapat nama-nama pejabat, seperti Presiden Jokowi, wakil presiden terpilih periode 2024-2029 Gibran Rakabuming Raka, putra bungsu Presiden Jokowi, Kaesang Pangarep, Menkominfo Budi Arie Setiadi, dan Menteri Keuangan (Menkeu) Sri Mulyani Indrawati.

Pilihan Editor: DJP Sanggah Kebocoran Data NPWP, CISSReC: Lembaga Mana yang Punya Data Selengkap Itu?