Data User & Driver Gojek Terancam Bocor

Data User & Driver Gojek Terancam Bocor

WinNetNews.com - Seorang developer Indonesia yang tinggal Thailand melaporkan adanya bug (celah/lubang) di aplikasi Go-Jek. Isu ini sejatinya sudah dilaporkan sejak Agustus 2015 lalu ke Go-Jek, namun ternyata belum semuanya ditambal.

Seorang praktisi TI Indonesia yang tengah tinggal di Chiang Mai, Thailand, Yohanes Nugroho mengaku telah mempublish perihal kebocoran aplikasi Go-Jek ini.

Seperti yang dilansir dari situs Detik, Yohanes sempat men-share informasi tersebut di wall Facebook untuk menanyakan 'Siapa yang kenal developer Go-Jek, saya menemukan bug?. Kemudian beberapa orang juga sempat kontak Yohanes dan menyatakan bahwa mereka juga menemukan bug yang sama.

Menurutnya sampai dengan hari ini sebagian bug masih ada. Bug yang mengubah data memang sepertinya sudah diperbaiki, namun bug yang berhubungan dengan privasi, seperti customer id, masih ada.

Sejumlah link yang memang berisi data lengkap dari pengguna dan diriver Go-Jek, diberikan oleh Yohanes kepada Detik. Mulai dari nama, nomor telepon, sisa kredit, rekam jejak pemesanan (order history), sampai alamat dan riwayat pendidikan si driver.

image0

Sumber Foto (DetikNet)

Sebelumnya atau pada Agustus 2015 lalu, Yohanes melaporkan adanya celah yang bisa dieksploitasi di aplikasi ojek online buatan Nadiem Makarim yang tengah booming tersebut, dengan harapan bisa langsung ditambal. Namun ternyata sampai awal Januari 2015, bolong di aplikasi tersebut masih ada.

Pasalnya, ini bukan sembarang lubang, tetapi sudah terkait keamanan privasi pengguna dan driver Go-Jek. Berikut hal-hal yang bisa dieksploitasi seperti dilaporkan Yohanes pada bulan Agustus 2015 lalu:

  1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email.
  2. Siapapun bisa mengubah pulsa driver gojek manapun.
  3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung.
  4. Siapapun bisa mendapatkan nama user, email, nomor HP user lain.
  5. Siapapun bisa mengganti nomor HP dan nama user lain, tanpa perlu tahu passwordnya.
  6. Siapapun bisa melihat order history orang lain.

Baca juga artikel: Ojek Berbasis Aplikasi Butuh Aturan Tambahan

"Order history Go-Jek cukup komprehensif: dari mana, ke mana lewat rute mana, driver mana yang mengambil penumpang, dsb. Jika pesanannya adalah makanan, maka makanan yang dipesan dan harganya juga bisa dilihat,” kata Yohanes.

"Ini adalah contoh dimana saya melihat aplikasi ini dari sisi iseng: pengen tahu seberapa banyak hal yang dilakukan oleh app mobile, dan seberapa banyak yang ditangani server. Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor,” lanjutnya.

Dan ternyata memang benar: data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang rekan Yohanes ternyata juga sudah pernah menemukan bug ini tapi belum ditindaklanjuti karena pihak Go-Jek masih membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama.

(Dilansir dari situs Detik)