- kaskus
VIVA.co.id - Seorang hacker alias peretas asal Indonesia yang tinggal di Thailand membeberkan sejumlah bug --kesalahan, cacat, kesalahan, kegagalan, atau kesalahan dalam sebuah program-- pada aplikasi milik Gojek.
Bug yang ditemukannya cukup mengejutkan, karena data-data milik driver Gojek dan penggunanya bisa bocor dan dapat diakses oleh siapa saja.
Hacker tersebut - seperti yang ditulis di laman blog.compactbyte.com - mengaku mendapati kasus tersebut setelah mempelajari aplikasi Gojek versi Android. Lantaran backend-nya sama, maka bug-bug ini dikatakannya juga berlaku untuk iOS. Bug utama pada Gojek menurutnya; API request tidak menggunakan management session, dan berikutnya adalah tidak ada batasan siapa saja yang bisa meng-update data.
Dari sejumlah analisa yang dilakukannya, siapapun bahkan bisa mencari customer ID berdasarkan telepon atau nama atau email; lalu siapapun bisa mengubah pulsa driver Gojek manapun; siapapun bisa melihat data pribadi driver Gojek, termasuk foto, alamat, dan bahkan nama ibu kandung; siapapun bisa mendapatkan nama user, email, nomor ponsel user lain; lalu siapapun bisa mengganti nomor ponsel dan nama user lain, tanpa perlu tahu passwordnya; hingga siapapun bisa melihat order history orang lain.
Artinya, siapa saja bisa melihat order history driver Gojek; seperti dari mana, ke mana, lewat rute mana, driver mana yang mengambil penumpang, dan sebagainya. Jika pesanannya adalah makanan, maka makanan yang dipesan dan harganya juga bisa dilihat.
Dijelaskannya, bug pada aplikasi perusahaan ojek online itu sudah coba ia laporkan pada Agustus 2015 lalu, namun hingga kini dinyatakannya bug tersebut masih mudah ditemukan pada aplikasi tersebut. Beberapa di antaranya memang sudah diperbaiki, namun yang lainnya, masih dapat ditemukan.
"Ketika mulai melihat bahwa aplikasi ini tidak menggunakan session management untuk menandai bahwa yang melakukan request adalah user yang sudah login, maka saya mulai curiga bahwa data akan bocor. Dan ternyata memang benar, data pribadi seseorang yang bocor banyak sekali. Ternyata salah seorang rekan saya sudah pernah menemukan ini, tapi belum ditindaklanjuti karena pihak Gojek masih membuat sistem mereka lebih stabil, dan ternyata bug ini sudah ada cukup lama.," ujar hacker tersebut dalam tulisannya.
Ia sendiri mengaku sudah melaporkan temuan bug tersebut ke pihak Gojek, dan pihak perusahaan ojek online itu meminta waktu untuk perbaikan. Ia juga diminta untuk menunda publikasi ke masyarakat sampai tanggal 10 Januari 2016.
Tak cuma untuk kasus-kasus di atas, dari hasil penelusurannya, mudah sekali mengakses data diri si pengguna Gojek, atau bahkan data puluhan ribu driver Gojek.
"Saya sendiri sebenarnya akan merasa risih andaikan nama, nomor telepon, alamat rumah saya, alamat tujuan saya naik Gojek bisa diakses siapa saja di internet. Tapi karena saya enggak tinggal di Indonesia, jadi saya tidak benar-benar merasakan itu."
Hacker itu mengaku sempat memutuskan menunda untuk mempublikasikan temuannya itu kepada publik. Terlebih, saat itu, banyak orang merasa senang dengan keberadaan Gojek, dan driver maupun penumpang yang sangat diuntungkan karena adanya sistem referral.
Bug seperti ini juga disampaikan hacker tersebut menunjukkan betapa lemahnya sekuriti pada aplikasi Gojek. Andaikan ada orang yang iseng, jahat, iri, startup Gojek bisa gulung tikar dengan kebobolan seperti ini.
"Sekitar sebulan atau dua bulan setelah saya laporkan ini, mulai ada orang yang memanfaatkan bug ini. Mereka menawarkan isi pulsa Gojek dengan harga miring. Setelah kejadian ini, Gojek men-disable account yang nilai pulsanya di atas sejuta," ujarnya.
Ia berharap, Gojek bisa peka dengan keadaan yang ada dan sesegera mungkin memperbaiki layanannya. (ren)
Ratusan Driver Gojek Sweeping Ojek Pangkalan di Margonda
Rekan mereka dipukuli pengemudi ojek pangkalan di depan ITC Depok.
