Penemuan celah kemanan sistem pada GOJEK

Keamanan boleh dibilang salah satu faktor paling penting di tiap layanan digital. Celah yang ada di sistem digital, khususnya yang berurusan dengan pengguna bisa menjerumuskan penyedia layanan ke dalam tuntutan hingga kerugian yang cukup membahayakan perusahaan.

Yohanes Nugroho, seorang programmer menemukan celah yang mengancam keamanan data pengguna dan pengemudi layanan transportasi online, Gojek. Celah yang mungkin saja disusupi pengguna internet tanpa izin dikhawatirkan Yohanes bisa membuat perusahaan rintisan yang sedang naik daun itu harus menelan kerugian hingga berujung gulung tikar.

"Bug seperti ini juga menunjukkan betapa pentingnya security di startup Anda: Andaikan ada orang yang iseng/jahat/iri, startup Anda sudah bisa gulung tikar dengan kebobolan seperti ini," tulis Yohanes dalam laman http://blog.compactbyte.com/ miliknya.

Ia mengakui perusahaan yang disebut-sebut telah dianugerahi label 'unicorn' alias perusahaan dengan nilai triliunan rupiah itu telah berusaha melakukan perbaikan demi menambal celah keamanan yang ada di sistem Gojek.

"Saya lupa tepatnya kapan, akhirnya sistemnya diganti, URL yang ada banyak yang dipindah ke /v2/. OAuth juga ditambahkan. Perlu diperhatikan: setelah titik ini, saya belum memeriksa lagi apakah ada bug baru. Saya asumsikan mereka sudah menyewa pentester untuk memastikan bahwa kali ini semua baik-baik saja," kata Yohanes penuh harap.

Sayang, harapan Yohanes soal penambalan keamanan yang dilakukan Gojek masih belum terpenuhi. "Ternyata ketika saya coba lagi sebelum posting artikel ini, sebagian besar bug yang ada ternyata belum diperbaiki. Token OAuth disimpan, tapi tidak dipergunakan di semua request berikutnya," imbuhnya.

Penemuan celah yang ada di dalam sistem Gojek diakui Yohanes berawal dari keisengannya. Setidaknya ada 6 poin penting yang ditemukan Yohanes yang mungkin dieksploitasi pihak tak bertanggung jawab dari celah dalam sistem Gojek, di antaranya :

1. Siapapun bisa mencari customer ID berdasarkan telepon atau nama atau email
2. Siapapun bisa mengubah pulsa driver gojek manapun
3. Siapapun bisa melihat data pribadi driver gojek, termasuk foto, alamat, dan bahkan nama ibu kandung
4. Siapapun bisa mendapatkan nama user, email, no HP user lain
5. Siapapun bisa mengganti no HP dan nama user lain, tanpa perlu tahu passwordnya
6. Siapapun bisa melihat order history orang lain

"Bug ini saya temukan sekitar Agustus 2015. Pihak Go-Jek cukup responsif dalam menanggapi laporan saya, walaupun ternyata banyak yang tidak diperbaiki hampir 5 bulan kemudian. Saya juga diberi kredit Rp 1 juta, yang saya berikan ke adik saya, tapi beberapa bulan kemudian sistem Go-Jek eror, dan saldonya jadi nol," paparnya.

Sebelum mengungkap secara ke publik atas celah yang ada di sistem Gojek, Yohanes telah melaporkan dan menunggu perbaikan yang dilakukan tim teknis perusahaan tersebut. Pasalnya ia khawatir bila terlalu cepat diungkap malah bakalan banyak orang yang mendapat informasi dan mengambil keuntungan dari hal tersebut.

"Di sini saya sebenarnya agak merasa bimbang: apakah sebaiknya cepat-cepat diberitahu ke publik, bahwa mungkin ada orang yang mencuri data diri Anda (terutama puluhan ribu driver gojek yang data lengkapnya gampang diakses). Atau tunggu dulu, kasihan ini startup baru. Kalau buru-buru diumumkan, tapi belum diperbaiki, siapapun bisa membuat skrip untuk memporak-porandakan seluruh data-data user dan driver. Bayangkan jika ada leak seperti Ashley-Madison," tukasnya.

Tim Techno.id sendiri telah menghubungi Nadiem Makarim, Pendiri sekaligus CEO Gojek untuk mendapatkan konfirmasi soal celah yang disebutkan Yohanes. Sayangnya, pria yang sempat diajak pemerintah menemui petinggi perusahaan teknologi di Silicon Valley, Amerika Serikat itu belum memberi respon.



Referensi : https://www.techno.id/startup/celah-keamanan-di-sistem-berpotensi-bikin-gojek-bangkrut-160111r.html