Aplikasi yang pernah menempati posisi utama pada daftar terbaik di Google Playstore Indonesia yaitu Gojek ternyata diketahui memiliki celah kemanan (bug) yang berbahaya. Hal ini sendiri diungkapkan oleh programmer Yohanes Nugroho melalui blognya yang menyampaikan beberapa celah vital aplikasi Gojek. Menurut Yohanes kebocoran API (application program interface/komponen penyusun aplikasi) endpoint di #aplikasi Go-Jek ini menyebabkan informasi-informasi yang seharusnya bersifat rahasia bisa dicuri dan diintip.
Dari sini maka kemungkinan pengguna yang usil atau hacker bisa mendapatkan data-data nomor ponsel pelanggan untuk digunakan untuk hal-hal yang tidak bertanggung jawab. Selain pencurian identitas pengguna Gojek, celah ini juga bisa mengakibatkan saldo pengguna bisa berubah. Berbahayanya lagi data-data tadi bisa didapatkan dan diubah tanpa memerlukan password.
Artikel lain: Nadiem Makarim ~ Lulusan Harvard Sukses “Ngojek” Bersama Go-Jek
Dalam blognya, Yohanes menjelaskan bahwa setidaknya terdapat enam celah dalam aplikasi Gojek yang sebenarnya telah ada sejak bulan Agustus 2015 silam. Lalu seperti apakah bentuk celah dan kronologi munculnya celah pada aplikasi Gojek ini? Berikut ulasannya.
Lima Celah Berbahaya Pada Aplikasi Gojek
Celah berbahaya pertama yaitu rawannya pencurian identitas konsumen berdasarkan telepon atau nama atau email. Kedua, rawannya pencurian data pribadi supir Gojek, termasuk foto, alamat, dan bahkan nama ibu kandung. Ketiga, rawannya peretasan nama pengguna, email, serta nomor handphone pengguna lain. Keempat, rawannya peggantian nomor handphone dan nama pengguna lain, tanpa perlu tahu password-nya. Kelima, celah peretasan riwayat pemesanan (order history) orang lain.
Order history Gojek sendiri cukup komprehensif yang melingkupi perjalanan dari mana, ke mana, lewat rute mana, supir mana yang mengambil penumpang, dan sebagainya. Jika pesanannya adalah makanan, maka makanan yang dipesan dan harganya juga bisa dilihat.
Sudah Disampaikan Yohanes Sejak Agustus 2015 Silam
Sebenarnya celah keamanan (bug) yang diketahui oleh Yohanes sejak bulan Agustus tahun 2015 silam telah dilaporkan ke pihak Go-Jek. Sayangnya pihak Gojek tidak langsung memperbaiki bug tersebut saat itu. Saat pelaporan itu disampaikan Yohannes malah diminta untuk tidak mempublikasikan bug dalam aplikasi Go-Jek hingga 10 Januari 2016. Maka setelah beberapa bulan berlangsung, pada bulan Desember 2015, Yohannes sempat mengecek lagi bug aplikasi Gojek tersebut.
Hingga akhirnya sebelum memposting tulisan ini di blog pada 2 Januari 2016 kemarin, Yohannes masih saja mendapati bug tersebut yang masih belum diperbaiki. Maka dalam proses timbal balik dari pelaporan ini, Yohanes menyimpulkan dan menilai bahwa Gojek sangat lambat dalam melakukan perbaikan.
Berharap Pihak Gojek Segera Memperbaiki Bug
Apa yang dilakukan Yohanes dengan memposting tulisan bug aplikasi Gojek ini adalah bukan tanpa tujuan. Ia ingin bahwa pihak Gojek segera memperbaki bug yang berbahaya bagi konsumen dan driver-nya tersebut. Lebih lanjut menurut Yohanes, jika ia tidak mempublish-nya ke blog, maka dikhawatirkan Gojek tetap tidak melakukan perbaikan dan hanya mengutamakan penambahan fitur-fitur baru.
Pada akhirnya setelah publikasi tulisan ini, bug-bug aplikasi Gojek pun telah diketahui masyarakat luas dan kemungkinan besar jika Anda memakai Gojek (atau sebagai supir Gojek), info Anda sudah disalin orang lain. Dengan hal ini maka Yohanes berharap semoga dengan artikel ini pihak Gojek segera memperbaiki layanannya.
Baca juga: (Update) Priitt!! Presiden Bertitah, Ojek Online Tetap Boleh Jalan
Bug yang Mudah Ditemukan dan Dieksploitasi
Menurut Yohanes, Bug utama Go-Jek adalah “API request”-nya yang tidak menggunakan session. Lebih lanjut Yohanes juga mengatakan bahwa secara teknis bug seperti pada aplikasi Gojek ini mudah sekali ditemukan dan dieksploitasi.
Selain itu, bug seperti ini juga dinilainya akan sulit untuk diperbaiki karena ketika server di-update, semua client harus di-update sekaligus. Sementara itu, sebuah kasus juga telah terjadi 1-2 bulan setelah Yohanes melaporkan bug ini. pada saat itu ada orang yang mulai memanfaatkan bug ini dengan cara menawarkan isi pulsa Gojek dengan harga miring.
Setelah kejadian ini, Gojek men-disable akun yang nilai pulsanya di atas sejuta. Lebih jauh dari ini Yohanes menghimbau agar masyarakat bisa lebih berhati-hati menggunakan aplikasi Gojek. Masyarakat diminta lebih selektif dalam membagikan informasi personalnya dalam sebuah aplikasi.
