Keamanan boleh dibilang salah satu faktor paling penting di tiap
layanan digital. Celah yang ada di sistem digital, khususnya yang
berurusan dengan pengguna bisa menjerumuskan penyedia layanan ke dalam
tuntutan hingga kerugian yang cukup membahayakan perusahaan.
Yohanes Nugroho, seorang programmer menemukan celah yang mengancam
keamanan data pengguna dan pengemudi layanan transportasi online, Gojek.
Celah yang mungkin saja disusupi pengguna internet tanpa izin
dikhawatirkan Yohanes bisa membuat perusahaan rintisan yang sedang naik
daun itu harus menelan kerugian hingga berujung gulung tikar.
Yohanes Nugroho, seorang programmer menemukan celah yang mengancam
keamanan data pengguna dan pengemudi layanan transportasi online, Gojek.
Celah yang mungkin saja disusupi pengguna internet tanpa izin
dikhawatirkan Yohanes bisa membuat perusahaan rintisan yang sedang naik
daun itu harus menelan kerugian hingga berujung gulung tikar.
"Bug seperti ini juga menunjukkan betapa pentingnya security di
startup Anda: Andaikan ada orang yang iseng/jahat/iri, startup Anda
sudah bisa gulung tikar dengan kebobolan seperti ini," tulis Yohanes
dalam laman http://blog.compactbyte.com/ miliknya.
Ia mengakui perusahaan yang disebut-sebut telah dianugerahi label
'unicorn' alias perusahaan dengan nilai triliunan rupiah itu telah
berusaha melakukan perbaikan demi menambal celah keamanan yang ada di
sistem Gojek.
"Saya lupa tepatnya kapan, akhirnya sistemnya diganti, URL yang ada
banyak yang dipindah ke /v2/. OAuth juga ditambahkan. Perlu
diperhatikan: setelah titik ini, saya belum memeriksa lagi apakah ada
bug baru. Saya asumsikan mereka sudah menyewa pentester untuk memastikan
bahwa kali ini semua baik-baik saja," kata Yohanes penuh harap.
Sayang, harapan Yohanes soal penambalan keamanan yang dilakukan Gojek
masih belum terpenuhi. "Ternyata ketika saya coba lagi sebelum posting
artikel ini, sebagian besar bug yang ada ternyata belum diperbaiki.
Token OAuth disimpan, tapi tidak dipergunakan di semua request
berikutnya," imbuhnya.
Penemuan celah yang ada di dalam sistem Gojek diakui Yohanes berawal
dari keisengannya. Setidaknya ada 6 poin penting yang ditemukan Yohanes
yang mungkin dieksploitasi pihak tak bertanggung jawab dari celah dalam
sistem Gojek, di antaranya :
1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email
2. Siapapun bisa mengubah pulsa driver gojek manapun
3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung
4. Siapapun bisa mendapatkan nama user, email, no HP user lain
5. Siapapun bisa mengganti no HP dan nama user lain, tanpa perlu tahu passwordnya
6. Siapapun bisa melihat order history orang lain
"Bug ini saya temukan sekitar Agustus 2015. Pihak Go-Jek cukup
responsif dalam menanggapi laporan saya, walaupun ternyata banyak yang
tidak diperbaiki hampir 5 bulan kemudian. Saya juga diberi kredit Rp 1
juta, yang saya berikan ke adik saya, tapi beberapa bulan kemudian
sistem Go-Jek eror, dan saldonya jadi nol," paparnya.
Sebelum mengungkap secara ke publik atas celah yang ada di sistem
Gojek, Yohanes telah melaporkan dan menunggu perbaikan yang dilakukan
tim teknis perusahaan tersebut. Pasalnya ia khawatir bila terlalu cepat
diungkap malah bakalan banyak orang yang mendapat informasi dan
mengambil keuntungan dari hal tersebut.
"Di sini saya sebenarnya agak merasa bimbang: apakah sebaiknya
cepat-cepat diberitahu ke publik, bahwa mungkin ada orang yang mencuri
data diri Anda (terutama puluhan ribu driver gojek yang data lengkapnya
gampang diakses). Atau tunggu dulu, kasihan ini startup baru. Kalau
buru-buru diumumkan, tapi belum diperbaiki, siapapun bisa membuat skrip
untuk memporak-porandakan seluruh data-data user dan driver. Bayangkan
jika ada leak seperti Ashley-Madison," tukasnya.
Tim Techno.id sendiri telah menghubungi Nadiem Makarim, Pendiri
sekaligus CEO Gojek untuk mendapatkan konfirmasi soal celah yang
disebutkan Yohanes. Sayangnya, pria yang sempat diajak pemerintah
menemui petinggi perusahaan teknologi di Silicon Valley, Amerika Serikat
itu belum memberi respon.
www.techno.id
Tidak ada komentar:
Posting Komentar