Portal Pajak India Bocorkan Data Rahasia Wajib Pajak, Bug Segera Diperbaiki

Sebuah kelemahan keamanan di portal pengajuan pajak pemerintah India baru-baru ini ditemukan oleh dua peneliti keamanan, Akshay CS dan Viral. Kelemahan ini memungkinkan pengguna yang sudah masuk untuk mengakses data pribadi milik pengguna lain hanya dengan mengganti nomor PAN mereka dalam permintaan jaringan. Data yang bocor meliputi nama, alamat, nomor telepon, dan nomor Aadhaar yang sangat penting bagi identitas warga.Peneliti keamanan menggunakan alat yang mudah diakses seperti Postman dan developer tools di browser untuk menguji celah ini. Mereka juga memastikan data yang disajikan adalah data nyata dengan izin langsung dari pemilik data, termasuk wartawan yang melaporkan kejadian ini. Bug ini termasuk dalam kategori IDOR, yaitu kesalahan pengaturan akses objek langsung yang tidak aman dan mudah dieksploitasi.Data yang bocor tidak hanya milik individu tapi juga perusahaan yang terdaftar di portal tersebut. Menurut data yang ada, portal ini memiliki lebih dari 135 juta pengguna terdaftar dan sekitar 76 juta orang yang sudah mengajukan pajak untuk tahun keuangan 2024-25. Namun tidak diketahui kapan bug ini mulai ada dan apakah sudah ada pihak yang memanfaatkan celah ini untuk tujuan jahat.Para peneliti sudah melaporkan masalah keamanan ini ke CERT-In dan pihak Departemen Pajak India sejak ditemukan pada bulan September. Meskipun tidak diberi tahu jadwal pastinya, perbaikan sudah dilakukan dan dikonfirmasi pada awal Oktober. Namun hingga berita ini ditulis, belum ada pernyataan resmi mengenai dampak menyeluruh atau investigasi yang dilakukan terhadap potensi penyalahgunaan data.Kejadian ini menggarisbawahi pentingnya keamanan data terutama bagi lembaga pemerintah yang mengelola data pribadi jutaan orang. Pengalaman ini dapat menjadi pelajaran bagi pihak berwenang di India dan negara lain untuk memperbaiki sistem pengamanan dan mencegah risiko pelanggaran data serupa yang dapat merugikan masyarakat luas.