Pakar Keamanan Siber Vaksincom, Alfons Tanujaya, menduga ada dua kemungkinan sumber kebocoran data 6 juta data pribadi dari Direktorat Jenderal Pajak. Kemungkinan pertama karena ada orang dalam DJP yang membocorkan data itu. Kemungkinan kedua, terjadi karena peretasan.
"Peretasan ini juga dilakukan dengan dua kemungkinan yaitu langsung meretas komputer atau server pusat atau meretas melalui komputer yang terhubung dengan server," kata Alfons saat dihubungi, Jumat 20 September 2024.
Dari dua kemungkinan itu, Alfons menilai, peretasan paling mungkin dilakukan melalui komputer yang terhubung ke server. Hal ini dilihat dari jumlah data yang bocor.
“Karena kalau langsung ke server pusat, harusnya data bisa lebih banyak. Tapi ini hanya 6 juta. Kemungkinan diretas dari komputer yang memiliki akses ke server,” kata Alfons.
Alfons menjelaskan, DJP memiliki unit-unit Kerja Kantor Pajak (KKP) di berbagai daerah. Tiap komputer di unit KKP itu memiliki komputer yang terhubung ke pusat. Ia menduga, peretasan dilakukan dengan mengambil alih akses komputer KKP itu sehingga bisa mencuri data dari pusat.
“Kalau salah satu komputer diambil alih akses, dia bisa copy data itu dari pusat,” kata Alfons.
Alfons prihatin berulangnya kasus kebocoran data ini. Menurut Alfons, pemerintah selema ini tidak memiliki kesadaran untuk mengamankan data pribadi milik masyarakat. Mereka hanya ingin mengelola tapi tak menjaganya.
Padahal, pengelolaan data itu juga harus memiliki standar keamanan yang ketat. Pedoman keamanan bisa merujuk standar nasional maupun internasional. Pedoman itu di antaranya komputer yang ingin melakukan tindakan akses ke database harus memenuhi syarat berlapis, lalu komputer harus rutin di-update, hingga menutup celah keamanan. “Sebetulnya aturanya sudah ada, tapi implementasi jarang dilakukan,” kata Alfons.
Menurut Alfons, masyarakat menjadi pihak yang paling dirugikan atas kebocoran data tersebut. Apalagi, data yang bocor merupakan data rinci mengenai riwayat pajak seseorang. Bisa saja, ada oknum yang menggunakan data itu untuk menipu masyarakat wajib pajak.
“Misalnya, menyasar wajib pajak. Lalu berpura-pura jadi petugas pajak. Kan data sudah bocor. Lalu buar peringata,n Peringatan anda wajib pajak, anda mengalami kekurangan bayar, anda harus bayar 500 juta. Nah ini kan bahaya,” kata Alfons.
Karena itu, Alfons meminta DJP untuk jujur. Mereka harus menyampaikan data yang bocor kepada masyarakat. Kemudian, meminta mereka untuk berhati-hati. “Jadi harus mengirim notifikasi ke email masyarakat kalau datanya bocor. Lalu minta untuk hati-hati,” kata Alfons.
Informasi bocornya data ini pertama kali disampaikan pendiri Ethical Hacker Indonesia Teguh Aprianto. Ia mengunggah tangkapan layar situs Breach Forums yang berisi tentang telah diretasnya 6 juta data pajak dan diperjualbelikan dalam situs tersebut. Enam juta data pribadi itu dijual seharga US$ 10.000 atau sekitar Rp 150 juta (kurs Rp 15 ribu per dollar AS).
Sebelum membeli, Bjorka menawarkan sampel berisi 10 ribu data pajak itu. Tempo mendapatkan sampel itu dengan cara mendowload langsung dari situs yang disediakan Bjorka.
Di antara 10 ribu data itu, urutan pertama langsung menampilkan data pribadi milik Presiden Joko Widodo, disusul data anak sulungnya sekaligus Wakil Presiden terpilih Gibran Rakabuming Raka, dan anak bungsunya Kaesang Pangarep.
Selanjutnya, ada juga data pajak milik Menteri Keuangan Sri Mulyani, Menteri Komunikasi dan Informatika Budi Arie Setiadi, Menteri BUMN Erick Thohir, Menteri Perdagangan Zulkifli Hasan, hingga Menko Perekonomian Airlangga Hartarto.
Data pajak itu terdiri dari Nomor Induk Kependudukan (NIK), Nomor Pokok Wajib Pajak (NPWP), data kependudukan seperti nama hingga alamat, telepon, tanggal daftar wajib pajak, status Pengusaha Kena Pajak (PKP), tanggal pengukuhan PKP, jenis wajib pajak, hingga badan hukum.
Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat DJP, Dwi Astuti, mengatakan, data itu bukan bocor dari instansinya. "Data log access dalam enam tahun terakhir menunjukkan tidak adanya indikasi yang mengarah kepada kebocoran data langsung dari sistem informasi DJP," ujar Dwi dalam keteranganya, Jumat 20 September 2024.
Ia menjelaskan, struktur data yang tersebar bukan merupakan struktur data yang terkait dengan pelaksanaan hak dan pemenuhan kewajiban perpajakan Wajib Pajak. Ia mengaku belum tahu asal kebocoran data itu. DJP saat ini masih berkoordiansi dengan berbagai pihak.
"Koordinasi dengan Kemenkominfo, BSSN, dan Kepolisian Republik Indonesia untuk menindaklanjuti sesuai dengan ketentuan yang berlaku," kata Dwi.