IKPI, Jakarta: Seorang pengguna Threads dengan akun @mughu.id membagikan pengalamannya saat menemukan celah keamanan di sistem Coretax milik Direktorat Jenderal Pajak (DJP) Kementerian Keuangan. Celah tersebut memungkinkan pembuatan Nomor Pokok Wajib Pajak (NPWP) hanya dengan menggunakan API Coretax melalui Node.js, tanpa validasi yang seharusnya dilakukan oleh sistem.
Dalam unggahannya, @mughu.id mengaku kesulitan saat mencoba membuat NPWP melalui website resmi Coretax. Namun, ketika ia mencoba melakukan permintaan melalui API menggunakan Node.js, NPWP justru berhasil dibuat dalam waktu 1 detik tanpa hambatan.
“Dari kemarin nyoba mau buat NPWP lewat web Coretax buat keluarga susah bener diaksesnya (killing time banget), dan tadi sekalinya berhasil saya langsung coba buat post request API pake Node.js dan boom, 1 detik jadi!” tulisnya dalam unggahan pada Selasa (4/2/2025).
NPWP Bisa Dibuat dengan Nama “Test Bug”
Dua hari sebelumnya, dalam unggahan lain, @mughu.id membuktikan celah keamanan tersebut dengan mencoba mendaftarkan NPWP menggunakan nama “Test Bug”. Hasilnya, NPWP tetap berhasil dibuat dan dikirim ke emailnya, meskipun data yang dimasukkan tidak sepenuhnya valid.
“Data sukses dengan modal NIK yang valid, data lainnya tanpa validasi, dan NPWP langsung masuk ke email! Saya coba masukkan nama Test Bug,” tulisnya. (alf)