Infodagang.com, PATI – Investigasi teknis terhadap situs pbb.patikab.go.id mengungkap fakta mengejutkan.
Alih-alih menyajikan informasi ringkas hasil pencarian, sistem tersebut justru menampilkan output data mentah (raw data) dalam format JSON yang berisi seluruh informasi pribadi wajib pajak secara gamblang.
Para praktisi IT menilai ini sebagai kelalaian fatal dalam Data Sanitization (pembersihan data) dan Information Exposure.
Mekanisme Bocornya Data: Output Tanpa Filter
Dalam arsitektur web yang aman, ketika pengguna memasukkan input (seperti Nomor Objek Pajak/NOP), server seharusnya hanya mengirimkan data yang relevan dan publik untuk ditampilkan di layar (misal: Nama dan Status Bayar).
Namun, pada situs PBB Pati, ahli IT menemukan bahwa sistem memberikan output yang “over-sharing”:
Direct Object Exposure: Saat pengguna melakukan request input, sistem menarik seluruh baris data dari database dan menyajikannya utuh ke browser pengguna.
Lack of Data Masking: Data sensitif seperti NIK dan Nomor Sertifikat tidak disembunyikan (masked).
Padahal, untuk kebutuhan info pajak, data tersebut tidak seharusnya dimunculkan di sisi pengguna publik.
JSON Format Exposure: Penggunaan format JSON yang “bersih” (seperti pada gambar temuan) memudahkan pelaku kejahatan untuk melakukan web scraping secara otomatis menggunakan bot.
Pandangan Ahli: Pelanggaran Prinsip “Least Privilege”
“Masalahnya bukan hanya pada input, tapi pada apa yang server ‘muntahkan’ kembali ke browser,” ujar seorang analis keamanan siber kabupaten Pati.
Menurutnya, pengembang situs melanggar prinsip Least Privilege (hak akses minimal).
“Server memberikan semua informasi yang ia punya kepada siapa pun yang meminta, tanpa mempedulikan apakah orang tersebut berhak melihat NIK atau Nomor Sertifikat tanah tersebut. Ini adalah celah Information Disclosure yang sangat serius.”
Kajian Hukum: Kelalaian dalam Pelindungan Data (UU PDP)
Secara hukum, menyajikan output data pribadi tanpa enkripsi atau filter di ranah publik adalah pelanggaran terhadap Pasal 35 UU PDP.
“Pengendali Data Pribadi wajib menyelenggarakan pelindungan Data Pribadi dengan menggunakan sistem elektronik yang andal, aman, dan bertanggung jawab.”
Munculnya NIK dan Nomor Sertifikat dalam output JSON tersebut membuktikan bahwa sistem yang dibangun tidak andal dalam memisahkan mana data publik dan mana data rahasia.
Dampak Nyata bagi Warga Pati
Karena output ini bisa diakses hanya dengan menebak atau mengganti angka NOP pada URL (seperti …/objek-pajak/[NOMOR]), maka:
Data Harvesting: Pihak luar bisa mengoleksi ribuan database warga Pati dalam hitungan menit.
Profiling Kekayaan: Siapa pun bisa mengetahui aset tanah milik orang lain hanya dengan bermodalkan NOP.
Risiko Pidana: Pemkab Pati dapat digugat secara perdata oleh warga karena gagal memproteksi output data sensitif di situs resminya.
Rekomendasi Teknis: Pemerintah Kabupaten Pati didesak segera mengubah logika pemrograman pada situs tersebut.
Server harus diinstruksikan untuk hanya mengirimkan kolom data tertentu (misal: Nama, Tahun Pajak, Nilai Pajak) dan membuang kolom NIK serta Nomor Sertifikat dari hasil output pencarian publik. (red)
Isi komentar sepenuhnya adalah tanggung jawab pengguna dan diatur dalam UU ITE