KOMPAS.com – Lini masa media sosial X, dulunya Twitter ramai membahas soal situs Coretax yang diduga tidak dilengkapi dengan sistem keamanan API.
Dikutip dari Central Data, sistem keamanan API adalah mekanisme keamanan yang diterapkan untuk melindungi Antarmuka Pemrograman Aplikasi (API) dari ancaman dan serangan siber.
Dugaan ini awalnya muncul dari akun media sosial Meta, Thread. Di platform tersebut, seorang warganet mengaku berhasil membuat NPWP hanya dalam satu detik lantaran situs Coretax tak dilengkapi keamanan API.
“Dari kmaren nyoba mau buat NPWP lewat web Coretax buat keluarga susah bener diaksesnya (killing time bgt), dan tadi sekalinya berhasil saya langsung coba buat post request API pake nodejs dan booom 1 detik jadi!” tulis pengunggah.
Dalam threadnya itu, pengunggah menyebutkan hanya membutuhkan Nomor Induk Kependudukan (NIK) dan data lainnya tanpa perlu validasi.
Setelah itu, NPWP akan langsung dikirim ke email.
Sejumlah warganet sontak mempertanyakan keamanan API di situs Coretax.
“Lah ini API gaada security token dll” tulis warganet.
“Ga ada gan, bener2 polosan langsung sukses tadi coba nama Test Bug dan hasilnya bener bener Test Bug tanpa ada validasi di create endpointnya,” jawab pengunggah.
Lantas, benarkah situs Coretax tak dilengkapi dengan keamanan API?
Baca juga: Cara Cek NPWP Aktif atau Tidak secara Online, Bisa lewat Coretax
Penjelasan DJP Kemenkeu soal situs Coretax
Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP Dwi Astuti mengatakan, pihaknya tengah menindaklanjuti temuan warganet tersebut.
“Saat ini sedang dalam penanganan oleh tim terkait,” kata dia, saat dikonfirmasi Kompas.com, Rabu (5/2/2025).
Saat ditanya apakah situs Coretax memang tidak dilengkapi dengan sistem keamanan API, Dwi tidak menjawab.
Dia hanya menyarankan bagi Wajib Pajak yang mengalami kesulitan dalam mendaftar NPWP melalui situs Coretax untuk menghubungi Kring Pajak 1500200 lalu mengisi dan mengirim formulir pendaftaran melalui pos ke kantor pajak.
Pendaftaran NPWP, kata dia, juga bisa dilakukan dengan datang secara langsung ke kantor pajak terdekat.
Baca juga: Ada Sistem Coretax, Lapor SPT Tahunan Masih Melalui DJP Online
Bahaya situs tak dilengkapi keamanan API
Menurut praktisi keamanan siber, Alfons Tanujaya, situs yang tidak dilengkapi sistem keamanan API bisa sangat berbahaya bagi penggunanya.
“Waduh, kalau situs tidak dilengkapi security token ya bahaya sekali. Segala macam serangan bisa dilakukan terhadap laman tersebut,” kata dia saat dikonfirmasi Kompas.com, Rabu.
Alfons menjelaskan, ancaman tersebut bisa datang dari serangan siber.
Pelaku ancaman siber bisa bebas mengakses data dan fungsi kritikal sistem; mengambil, mengubah dan menghapus informasi sensitif; melakukan serangan injeksi (SQL injection, command injection) untuk memanipulasi sistem; melakukan DDOS dengan cara meminta data berulang yang akan melumpuhkan API.
Dia juga mengingatkan, apabila komunikasinya tidak dienkripsi, siber dapat menyusup ke sistem dan melakukan manipulasi API dan response API.
“Data yang ada dapat diubah atau injeksi dan diisi dengan konten berbahaya,” jelasnya.
Dalam kasus situs Coretax, Alfons sangat menyayangkan laman milik pemerintah itu tidak dilengkapi dengan sistem keamanan API.
“Seharusnya tidak separah ini ya. Memang harus diaudit secara tuntas daripada berkembang menjadi bola liar dan berdampak buruk bagi citra pemerintahan,” serunya.
