Cyberthreat.id – Kesalahan pada peranti lunak di situs web perpajakan milik pemerintah Denmark secara tidak sengaja malah mengungkapkan nomor identitas pribadi (civil personal registration/CPR) sekitar 1,26 juta warga Denmark atau seperlima dari total populasi negara itu.

Kesalahan yang ditemukan setelah audit oleh Badan Pengembangan dan Penyederhanaan Denmark (Udviklings-og Forenklingsstyrelsen/UFST) itu berlangsung selama lima tahun (2 Februari 2015 hingga 24 Januari 2020).

Menurut UFST, kesalahan terjadi pada TastSelv Borger, portal resmi administrasi pajak Denmark. Situs web ini biasa dipakai warga Denmark untuk mengajukan dan membayar pajak secara online, tulis ZDNet, Senin (10 Februari 2020) mengutip laporan media lokal Denmark pekan lalu.

Pemerintah Denmark mengatakan, kesalahan tersebut karena ada cacat (bug) pada perangkat lunak, yaitu setiap kali pengguna memperbarui detail akun di bagian pengaturan portal, nomor CPR mereka akan ditambahkan ke URL.

URL kemudian akan dikumpulkan oleh layanan analitik yang berjalan di situs web, dalam hal ini, Adobe dan Google.

Menurut UFST, detail untuk lebih dari 1,2 juta wajib pajak Denmark yang bocor tersebut secara tidak sengaja dikumpulkan oleh penyedia analisis.

Di Denmark, nomor CPR sangat penting karena sebagai syarat wajib untuk membuka rekening bank, mendapatkan nomor telepon, dan banyak operasi dasar lainnya.

CPR memiliki detail informasi tentang pengguna. Yaitu terdiri dari sepuluh digit dengan enam pertama adalah tanggal lahir warga negara. Lalu, jenis kelamin pemilik (jika angka terakhir ganjil, pemiliknya laki-laki, begitu sebaliknya).

Namun, terlepas dari kebocoran data yang cukup besar, UFST mengimbau warga tetap tenang karena data itu kemungkinan besar dikumpulkan oleh dua perusahaan analisis saja, dan “tidak ada bahaya penipuan yang langsung terjadi pada mereka yang terkena dampaknya,” kata UFST.

Sementara, itu, kalangan pendukung perlindungan data pribadi justru menyerukan adanya audit yang lebih luas terhadap kode sumber portal agen pajak. Ini ditakutkan akan kesalahan pada hal lainnya.

DXC (sebelumnya CSC), perusahaan perangkat lunak yang membangun portal perpajakan itu, mengatakan, telah memperbaiki bug setelah pihak berwenang melaporkan masalah tersebut.

Denmark adalah negara Skandinavia ketiga yang menderita insiden keamanan dalam beberapa tahun terakhir. Pada 2015, Swedish Transport Agency (STA) mengizinkan beberapa database sensitif untuk diunggah ke cloud dan diakses oleh para profesional TI Serbia yang belum diselidiki. Pada 2018, kelompok peretas mencuri data layanan kesehatan untuk lebih dari setengah populasi Norwegia.[]