NASIONAL, Jakarta - Chairman Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC) Pratama Persadha menduga kebocoran data 6 juta nomor pokok wajib pajak (NPWP) baru-baru ini berasal dari Direktorat Jenderal Pajak Kementerian Keuangan.

Hal itu ia katakan setelah Ditjen Pajak membantah adanya kebocoran data yang mengarah pada sistem mereka. Pratama juga mengatakan kebocoran ini hampir tidak mungkin berasal dari institusi lain, karena jumlah data yang diduga bocor dinilai sangat besar.

"Menurut CISSReC, kebocoran data NPWP tersebut seharusnya memang berasal dari Ditjen Pajak Kemenkeu," kata Pratama dalam pesan singkat kepada Tempo, Ahad, 22 September 2024.

Pasalnya, kata pakar siber itu, jumlah data yang bocor sangat besar, hingga 6,6 juta data. "Hampir tidak mungkin berasal dari kantor perwakilan atau perusahaan atau institusi lain."

Terlebih lagi, katanya, pengelola data pajak swasta tidak mungkin menerima serta memproses pendaftaran pajak Presiden Jokowi, kedua putranya yaitu Kaesang Pangarep dan wakil presiden terpilih Gibran Rakabuming Raka, menteri-menteri, dan nama-nama lain yang diduga menjadi korban dalam kasus ini.

Sebelumnya, Direktur Penyuluhan, Pelayanan, dan Hubungan Masyarakat di Ditjen Pajak Dwi Astuti membantah kebocoran data NPWP berasal langsung dari sistem pihaknya. Ia menyebutkan data log access dalam enam tahun terakhir menunjukkan tidak adanya indikasi yang mengarah kepada kebocoran data langsung dari sistem informasi Ditjen Pajak.

Atas pejelasan itu, Pratama mempertanyakan Ditjen Pajak yang menyatakan bahwa pemeriksaan mereka terhadap log access selama enam tahun ke belakang tidak menemukan indikasi kebocoran.

"Menjadi sebuah tanda tanya karena sangat aneh jika menyimpan log sampai selama 6 tahun, ditambah tidak dapat mendeteksi kebocoran. Berarti bisa jadi sistem sensor yang dipergunakan oleh DJP Kemenkeu kurang pintar atau tidak berjalan," tuturnya.

Adapun soal dugaan kebocoran data NPWP, awalnya dibunyikan oleh pengamat keamanan siber Teguh Apriyanto. "Sebanyak 6 juta data NPWP diperjualbelikan dengan harga sekitar 150 juta rupiah. Data yg bocor diantaranya NIK, NPWP, alamat, no hp, email dll," tulis Teguh lewat akun @secgron miliknya di media sosial X pada Rabu, 18 September lalu.

Ia melampirkan tangkapan layar yang tampak menunjukkan 25 nama teratas yang termasuk di dalam 25.000 sampel. Di antara nama-nama tersebut adalah Jokowi, Gibran, Kaesang, Menteri Komunikasi dan Informatika Budi Arie Setiadi, dan Menteri Keuangan Sri Mulyani.

Data tersebut kemudian dijual oleh akun Bjorka dengan harga sekitar Rp150 juta rupiah di BreachForums pada 18 September. Sebelumnya, akun itu beberapa kali mengaku membobol data pemerintah, dari dokumen Badan Intelijen Negara hingga dinas kependudukan dan pencatatan sipil, pada medio September 2022.

Southeast Asia Freedom of Expression Network (SAFEnet) mencatat, sepanjang 2022 hingga 2023, telah terjadi 113 kali peretasan data pribadi. Mayoritas yang terkena pembobolan data  pribadi adalah instansi pemerintah, dari BPJS Kesehatan, Kepolisian RI, KPU, hingga Kementerian Pertahanan. tempo