Sebuah insiden siber yang mencengangkan terungkap dari Laporan Hasil Pemeriksaan (LHP) Badan Pemeriksa Keuangan (BPK) Perwakilan Sumatera Barat. Aplikasi Sistem Informasi Manajemen Pajak Daerah (SIMPADA) milik Pemerintah Kota Solok, yang digunakan untuk memungut sembilan jenis pajak daerah, berubah menjadi halaman promosi situs judi online slot “MAHKOTA212” pada 17 Oktober 2025.
Kota Solok, CupakNews.id | Yang lebih mengkhawatirkan, BPK menemukan bahwa aplikasi tersebut menggunakan kata sandi universal ‘123456’ untuk puluhan akun petugas, dan tidak pernah memiliki standar operasional prosedur (SOP) keamanan siber.
Dari Google Search Console ke Take Down
Insiden bermula ketika Dinas Komunikasi dan Informatika (Diskominfo) Kota Solok menerima email dari Google Search Console pada 17 Oktober 2025. Email tersebut memberitahukan bahwa aplikasi SIMPADA telah mengalami manipulasi konten (content injection). Saat petugas mengecek, tampilan aplikasi tidak lagi menunjukkan menu pajak daerah, melainkan tautan dan grafis situs slot online “MAHKOTA212”.
Bukti visual berupa screenshot dalam LHP BPK memperlihatkan halaman aplikasi yang seharusnya digunakan untuk melaporkan pajak restoran, hotel, parkir, dan hiburan, diganti dengan konten perjudian. Diskominfo segera melakukan take down aplikasi untuk menghentikan akses publik.
Password ‘123456’ dan Tanpa UAT: Bukan Sekadar Kelalaian
Investigasi BPK mengungkap fakta yang lebih dalam. Sejak aplikasi dibangun pada tahun 2021 oleh pihak ketiga (PT MBA), tidak pernah dilakukan User Acceptance Test (UAT). Akibatnya, kelemahan keamanan dasar tidak terdeteksi. Yang paling fatal, BPK menemukan bahwa akun-akun pengguna SIMPADA termasuk akun wajib pajak menggunakan kata sandi dengan tingkat kesulitan terendah, seperti ‘123456’.
“Kata sandi yang sama dan mudah ditebak ini ditemukan pada puluhan akun di tiga aplikasi perpajakan (SIM PBB, BPHTB H2H, dan SIMPADA),” demikian kutipan LHP. Temuan ini diperkuat dengan tabel dekripsi password pada lampiran LHP.
CSIRT Mati Suri, Tidak Ada SOP Serangan Siber
Lebih ironis lagi, meskipun Wali Kota Solok telah membentuk Tim Tanggap Insiden Siber Solok Kota-Computer Security Incident Response Team (SolokKota-CSIRT) melalui Keputusan Wali Kota Nomor 188.45-61 Tahun 2022, tim tersebut tidak pernah memiliki SOP penanganan insiden. Bahkan saat serangan terjadi, Diskominfo mengakui tidak bisa memperbaiki sendiri karena hanya pihak ketiga (PT MBA) yang menguasai kode sumber (source code) aplikasi.
Kepala Diskominfo, dalam wawancara dengan BPK, menyatakan bahwa aplikasi yang diserang hanya bisa diperbaiki oleh vendor, sementara CSIRT hanya bisa men-take down dan tidak bisa melakukan investigasi forensik.
Rekomendasi Keamanan Abaian: WAF dan Anti-DDoS Tidak Dipasang
Setelah serangan, PT MBA merekomendasikan pemasangan Web Application Firewall (WAF) dan aktivasi tool Anti-Distributed Denial of Service (DDoS). Namun hingga akhir pemeriksaan BPK (Desember 2025), rekomendasi tersebut belum diimplementasikan. Hal ini berarti aplikasi SIMPADA masih rentan terhadap serangan serupa di masa depan.
Potensi Kebocoran Data Wajib Pajak dan Kerugian Keuangan Daerah
Meskipun BPK tidak menghitung secara kuantitatif kerugian moneter langsung dari peretasan ini, risiko yang ditimbulkan sangat serius:
- Kebocoran data pribadi wajib pajak (NIK, alamat, nomor handphone, nilai objek pajak) yang dilindungi Undang-Undang Pelindungan Data Pribadi (UU 27/2022).
- Potensi manipulasi data perpajakan (pengurangan nilai pajak, penghapusan tagihan, atau penggelembungan) karena tidak adanya audit trail (riwayat perubahan data).
- Gangguan layanan publik selama 3 hari (17-20 Oktober 2025) yang menghambat pelaporan dan pembayaran pajak.
Dalam LHP, Wali Kota Solok menyatakan “sependapat” dengan seluruh temuan BPK dan berjanji akan menindaklanjuti rekomendasi. Namun hingga laporan ini diterbitkan, belum ada sanksi personal yang dijatuhkan kepada pejabat terkait, dan belum ada jaminan bahwa password universal telah diubah.
Aplikasi perpajakan yang seharusnya menjadi alat meningkatkan Pendapatan Asli Daerah (PAD) justru menjadi celah masuk bagi konten ilegal. Ironi ini menjadi pelajaran pahit bahwa digitalisasi tanpa tata kelola keamanan yang benar bukan hanya sia-sia, tapi juga berbahaya. (Red)
Semua data dikutip dari LHP BPK RI Nomor 44/T/LHP/DJPKN-V.PDG/PPD.02/12/2025, dokumen resmi negara.
Berita Terkait :
Rp2,5 Miliar Menguap Di Kota Solok: BPK Bongkar 15 Skandal Dari Pajak Hingga Pin Emas
CATATAN REDAKSI
(Tim Redaksi)
