in ,

Keamanan ”Core Tax” Dikhawatirkan, Netizen Ini Klaim Bikin NPWP Tanpa Validasi 

Keamanan ”Core Tax”
Foto: DJP dan IST

Keamanan ”Core Tax” Dikhawatirkan, Netizen Ini Klaim Bikin NPWP Tanpa Validasi 

Pajak.com, Jakarta – Salah seorang netizen di Threads dengan akun @mughu.id, mengklaim berhasil membuat Nomor Pokok Wajib Pajak (NPWP) tanpa validasi menggunakan perangkat lunak Node.js. Akun milik Muhamad Ghufron yang berprofesi sebagai software developer ini mengaku berhasil mendaftarkan NPWP dalam satu detik tanpa membuka website core tax. Postingan tersebut pun viral di Threads dan X sehingga mengundang banyak komentar mengenai kekhawatiran keamanan data core tax.

”Dari kemarin nyoba mau buat NPWP lewat web core tax buat keluarga susah bener di aksesnya (killing time banget), dan tadi sekalinya berhasil saya langsung coba buat post request API (Application Programming Interface) pake Node.js dan booom 1 detik jadi! Data sukses dengan modal NIK yang valid, data lainnya tanpa validasi dan NPWP langsung masuk ke e-mail! Saya coba masukkan nama Test Bug. kalo ga di fix, nanti saya buatin web daftar formnya deh biar ga usah ribet masuk frontend core tax wkwk,” tulis Muhamad Ghufron dalam akunnya @mughu.id pada 2 Februari 2025, dikutip Pajak.com (5/2).

Dengan mencoba memasukkan nama ”Test Bug” dan NPWP berhasil dibuat, berarti sistem core tax diduga tidak melakukan pemeriksaan pada data-data yang diisi oleh penguna.

”Sementara test beberapa bug, karena iseng aja sih dan ini bug paling fatal semantara, bisa create bulk data tanpa validasi yang buat nantinya database berantakan dan bisa juga buat dengan mudah server down kalo post requestnya bisa di akses dari luar IP (internet protocol) internal,” tulis Muhamad Ghufron.

Setelah unggahan tersebut viral, Muhamad Ghufron mencoba kembali melakukan pengujian dengan data yang sama pada 3 Februari 2025. Namun, permintaan pendaftaran NPWP mendapatkan respons 403 forbidden, yang artinya bahwa akses ke API telah dibatasi.

Baca Juga  “Core Tax System” Mulai Berlaku, Sri Mulyani Tekankan DJP untuk Jaga Keamanan Informasi

Mengutip halaman hostinger.co.id, 403 forbidden adalah kode kesalahan yang muncul karena website mencoba mencegah akses yang tidak sah ke file tertentu. Hal ini disebabkan oleh direktori website yang kosong atau masalah izin.

”Terpantau hari ini registrasi core tax menggunakan endpoint API . Saya coba test posting dengan data yg sama langsung return 403, sebelumnya masih return duplicate, yang kemungkinan besar sudah di fix,” tulisnya.

Kepada Pajak.com, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat (P2Humas) Direktorat Jenderal Pajak (DJP) Dwi Astuti mengaku bahwa saat ini hal tersebut sedang dalam penanganan oleh tim khusus core tax. 

”Saat ini sedang dalam penanganan oleh tim terkait,” jelas Dwi (5/2).

BAGAIMANA MENURUT ANDA ?

Comments

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *