Reporter: Dendi Siswanto | Editor: Khomarul Hidayat
KONTAN.CO.ID-JAKARTA. Warganet kembali dikejutkan dengan celah sistem pajak Coretax yang ditemukan akun @mughu.id di media sosial Threads.
Dalam kasus ini, akun tersebut berhasil membuat Nomor Pokok Wajib Pajak (NPWP) secara instan hanya dengan mengirimkan POST request ke API Coretax melalui Node.js.
Pengamat Telematika Roy Suryo menilai, kejadian tersebut mengindikasikan adanya celah keamanan dalam sistem Coretax.
Baca Juga: Bangun Coretax System, Direktorat Jenderal Pajak Anggarkan Rp 1,3 Triliun Untuk Ini
Menurut Roy, terdapat beberapa faktor yang berpotensi menjadi penyebab celah ini.
Pertama, API Endpoint terbuka atau tidak terlindungi dengan baik. Jika API Coretax tidak memiliki autentikasi dan otorisasi yang ketat, maka siapa pun bisa mengaksesnya dan membuat NPWP tanpa validasi. Bisa jadi, endpoint API tidak dibatasi hanya untuk pengguna atau sistem yang berwenang.
Untuk mengatasi masalah tersebut, Roy menyarankan agar pemegang Coretax segera mengimplementasikan sistem autentikasi yang lebih kuat, seperti OAuth 2.0 atau JWT (JSON Web Token). Selain itu, akses API sebaiknya hanya diberikan kepada IP atau sistem yang telah terverifikasi.
Kedua, tidak ada validasi data di server. Roy menjelaskan, jika sistem hanya mengecek data di sisi klien, maka hacker bisa melewati pemeriksaan dengan langsung mengirimkan request POST ke API menggunakan alat seperti Postman atau Node.js.
Oleh karena itu, penting untuk memastikan semua validasi dilakukan di sisi server bukan hanya frontend.
"Kemudian terapkan mekanisme CAPTCHA atau one-time password (OTP) untuk menghindari pembuatan NPWP secara otomatis," ujar Roy kepada Kontan.co.id, Senin (3/2).
Baca Juga: Negara Mitra Pertukaran Data Pajak Bertambah
Ketiga, Coretax tidak menggunakan rate limiting atau throttling. Pasalnya, sistem yang tidak memiliki batasan jumlah request per pengguna atau IP dapat dimanfaatkan oleh pelaku untuk mengirim ribuan request dalam waktu singkat dan membuat banyak NPWP palsu.
Untuk mencegah hal ini, disarankan agar diterapkan rate limiting, misalnya 10 request per menit per pengguna. Selain itu, pemantauan log API juga diperlukan untuk mendeteksi aktivitas mencurigakan.
Keempat, kelemahan dalam sistem autentikasi dan token. Jika terdapat bug dalam sistem token atau cookie session, seseorang bisa meniru request API yang valid tanpa harus login sebagai pengguna yang sah.
Solusinya adalah menerapkan expiring tokens dan refresh tokens dengan mekanisme yang ketat. Selain itu, penggunaan HTTP headers security seperti SameSite=Strict, Secure, dan HttpOnly sangat disarankan.
Untuk mencegah eksploitasi lebih lanjut, Roy menyerankan beberapa langkah berikut.
Pertama, audit Keamanan API, yakni dengan memeriksa endpoint yang dieksploitasi dan segera lakukan perbaikan. Selain itu, matikan sementara endpoint yang rentan.
Kedua, pengetatan akses API. Roy menyarankan hanya izinkan akses dari IP atau sistem yang terdaftar, serta menggunakan API gateway dengan Web Application Firewall (WAF).
Ketiga, melakukan logging dan monitoring, yakni dengan memeriksa log akses untuk melihat siapa saja yang menyalahgunakan API. Kemudian, terapkan sistem deteksi intrusi (Intrusion Detection System/IDS) untuk mendeteksi pola anomali.
Baca Juga: Satu Bulan Meluncur, Megaproyek Coretax Masih Banjir Keluhan
Roy menyimpulkan, dugaan eksploitasi Coretax oleh akun @mughu.id menunjukkan adanya kelemahan dalam keamanan API, yang memungkinkan seseorang membuat NPWP secara instan tanpa izin.
"Solusi terbaik adalah memperkuat autentikasi, validasi data, serta membatasi akses API untuk mencegah penyalahgunaan lebih lanjut," imbuhnya.
Selanjutnya: Mengenal Ciri-ciri Asam Urat dan Cara Mengobatinya
Menarik Dibaca: Mengenal Ciri-ciri Asam Urat dan Cara Mengobatinya
Cek Berita dan Artikel yang lain di Google News
