Hacker Bocorkan Data Sensitif Ditjen Pajak. 100 Besar Data Penunggak Dibeberkan Ke Forum Peretas

Puluhan file terkompres dalam format RAR dan ZIP diunggah di sebuah forum jual beli data oleh akun dengan nama “theheroes” dan diklaim data didalamnya milik Direktorat Jenderal (Ditjen) Pajak, Kementerian Keuangan Republik Indonesia. Total terdapat sebanyak 34 file berformat RAR, PDF, CSV, dan ZIP yang diperjualbelikan. Meskipun terbilang kecil untuk sebuah kasus kebocoran data, tetapi apabila dilihat dari sampel yang dibagikan terdapat sejumlah data bersifat sensitif, seperti laporan perusahaan – perusahaan yang menunggak pajak terbesar dan aktivitas yang dilakukan selama bulan Oktober sampai dengan Desember 2021.

Baca Juga : Data Breach dan Ancaman Serangan Siber Lainnya Meningkat Drastis di Tahun 2022

Beberapa file yang diunggah dalam forum ini diantaranya adalah sebagai berikut:

• 080_Laporan_100_Besar_dan_Tindakan_Penagihan_Bulan_Desember_2021.zip
• 080_TL_Laporan_100_Penunggak_Pajak_Terbesar_dan_Tindakan_Penagihan_bulan_Oktober_2021.zip
• 080_TL_Tindakan_Penagihan_dan_100_Besar_Penunggak_Pajak_bulan_November_2021.zip
• 310_Laporan_Rutin_Penagihan_Bulan_Oktober_2021.zip
• Pengiriman_Laporan_Rutin_SPMKP_dan_SP2D_Periode_Januari_2023.zip
• Revisi_080_Laporan_100_Penunggak_Pajak_Terbesar_dan_Kegiatan_Penagihan_Bulan_Juni_2021.zip
• DATA_LAP_KEUANGAN_PT_OSATO_SEIKE.zip
• SALARY PT. ANGKASA MANDIRI 2019.zip
• BUKU BESAR PT. ANGKASA MANDIRI 2019.xls
• Laporan Realisasi PBB 2017 – KPP Pratama Merauke.PDF
• ND-226 Kanwil Jaksel 2.xls (berisi rencana penerimaan pajak tahun 2020 per bulan kantor wilayah DJP Jakarta Selatan II)

Data yang diunggah dalam forum tersebut merupakan teks jelas tanpa enkripsi sehingga siapapun dapat dengan mudah untuk membacanya. Jika dilihat dari data dan sampel yang ada mungkin data ini berasal dari basis data milik Ditjen Pajak RI sejak tahun 2017 sampai dengan 2023.

Kabar insiden kebocoran data ini bertepatan di tengah keributan di Lingkungan Direktorat Jenderal Pajak karena kasus penganiayaan yang dilakukan oleh Mario Dandy Satrio, anak dari Rafael Alun Trisambodo mantan Kepala Bagian Umum DJP Kemenkeu Kantor Wilayah Jakarta Selatan II terhadap seorang pelajar lantaran persoalan asmara. Merembet dari hal ini mulai terkuak bahwa beberapa harta kekayaan dari Rafael Alun Trisambodo yang sebelumnya harus melepaskan jabatannya karena kasus ini juga, telah menunggak pajak dan tidak masuk dalam Laporan Harta Kekayaan Penyelenggara Negara (LHKPN) yang sekarang masih dilakukan penyelidikan lanjutan.

Baca Juga : Perum Bulog jadi korban serangan RansomEXX

Tetapi apabila kembali dilihat dalam riwayat insiden kebocoran data di Indonesia, pada Maret 2022 situs Ditjen Pajak juga telah mengalami kebocoran data hal ini juga pernah dibahas di artikel djkn.kemenkeu.go.id. Meskipun dari penjelasan juru bicara Ditjen Pajak mengatakan bahwa celah pemicu insiden ini bukan dari sistem internal DJP, melainkan dari perangkat pengguna yang dideteksi terinfeksi malware, yang kemudian digunakan untuk melakukan akses ke dalam situs. Namun masih diperlukan lagi peningkatan terhadap keamanan sistem mereka demi meminimalisir insiden lebih besar terjadi dimasa yang akan datang.